Проверка DNSSEC
Проверьте, подписан ли домен с помощью DNSSEC и корректно ли он проверяется.
DNSSEC добавляет криптографические подписи к записям DNS, чтобы их нельзя было подделать (отравление кэша, спуфинг). Этот инструмент обращается к проверяющему резолверу и сообщает, публикует ли домен ключи DNSSEC (DNSKEY) и проверяется ли цепочка доверия (флаг AD).
Часто задаваемые вопросы о DNSSEC
DNSSEC (DNS Security Extensions) — это набор расширений, добавляющих криптографические подписи к ответам DNS. Он позволяет убедиться, что ответ действительно исходит от легитимного домена и не был изменён при передаче.
AD (Authenticated Data) — это бит, который проверяющий резолвер устанавливает, когда успешно проверил всю цепочку DNSSEC домена. Если он установлен, ответ подлинный и не был подделан.
Запись DNSKEY содержит открытый ключ, используемый для подписи записей зоны. Если домен не публикует DNSKEY, у него не включён DNSSEC.
Обычно из-за истёкших подписей RRSIG или некорректной либо отсутствующей записи DS у родительской зоны (TLD). В этом состоянии «bogus» проверяющие резолверы отклоняют ответы, из-за чего домен может стать недоступным.
Готовы улучшить свой DNS?
Выберите лучший бесплатный DNS-сервер для ваших нужд и настройте его за считанные минуты.