Vérificateur DNSSEC
Vérifiez si un domaine est signé avec DNSSEC et se valide correctement.
DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS pour empêcher leur falsification (empoisonnement du cache, usurpation). Cet outil interroge un résolveur validant et vous indique si le domaine publie des clés DNSSEC (DNSKEY) et si la chaîne de confiance se valide (drapeau AD).
FAQ DNSSEC
DNSSEC (DNS Security Extensions) est un ensemble d'extensions qui ajoute des signatures cryptographiques aux réponses DNS. Il permet de vérifier qu'une réponse provient réellement du domaine légitime et n'a pas été altérée en transit.
AD (Authenticated Data) est un bit qu'un résolveur validant active lorsqu'il a vérifié avec succès toute la chaîne DNSSEC du domaine. S'il est activé, la réponse est authentique et n'a pas été falsifiée.
L'enregistrement DNSKEY contient la clé publique utilisée pour signer les enregistrements de la zone. Si un domaine ne publie aucun DNSKEY, il n'a pas DNSSEC activé.
Généralement à cause de signatures RRSIG expirées ou d'un enregistrement DS incorrect ou absent chez le parent (TLD). Dans cet état « bogus », les résolveurs validants rejettent les réponses, ce qui peut rendre le domaine inaccessible.
Prêt à améliorer votre DNS ?
Choisissez le meilleur serveur DNS gratuit pour vos besoins et configurez-le en quelques minutes.