DNSSEC检测工具
检测某个域名是否使用DNSSEC签名并能正确验证。
DNSSEC为DNS记录添加加密签名,防止它们被伪造(缓存投毒、欺骗)。本工具会查询一个具备验证功能的解析器,并告诉您该域名是否发布了DNSSEC密钥(DNSKEY)以及信任链能否验证(AD标志)。
DNSSEC常见问题
DNSSEC(DNS Security Extensions)是一组扩展,为DNS应答添加加密签名。它让您能够验证某个应答确实来自合法域名,且在传输过程中未被篡改。
AD(Authenticated Data)是一个比特位,当具备验证功能的解析器成功核验了域名整条DNSSEC链时便会设置它。如果该位被设置,说明应答是真实的,未被伪造。
DNSKEY记录保存用于签署区域记录的公钥。如果某个域名未发布任何DNSKEY,则它未启用DNSSEC。
通常是因为RRSIG签名已过期,或父级(TLD)的DS记录不正确或缺失。在这种«bogus»状态下,具备验证功能的解析器会拒绝这些应答,从而可能导致该域名无法访问。