Como posso verificar se um domínio usa DNSSEC?

20

O DNSSEC foi implantado em alguns domínios principais agora. Mas como eu pude ver se um site / domínio está usando DNSSEC? É mostrado no navegador? ou existe algum comando do windows ou linux para vê-lo? ou uma ferramenta para isso?

Jonas
fonte

Respostas:

19

dig [zone] dnskey

Isso mostrará se existe o DNSKEY RRset necessário na zona que será usado para validar os conjuntos de RRs na zona.

Se você deseja ver se o servidor recursivo está validando a zona,

dig +dnssec [zone] dnskey

Isso definirá o bit DO (dnssec OK) na consulta de saída e fará com que o resolvedor upstream defina o bit AD (dados autenticados) no pacote de retorno se os dados forem validados e também fornecerá os RRSIGs relacionados (se a zona em (a pergunta está assinada), mesmo que não consiga validar a resposta.

Você pode dar uma olhada no último grupo de slides na minha apresentação "DNSSEC em 6 minutos" (muito sobre depuração do DNSSEC). Essa apresentação é um pouco demorada para implantar o DNSSEC (você deve realmente observar o BIND 9.7 para ver as coisas boas), mas a depuração mudou pouco.

Há também uma apresentação que fiz na NANOG 50 sobre a implantação do BIND 9.7 DNSSEC .

Knobee
fonte
2
Fui convidada no serverfault a admitir que realmente trabalho para o ISC, os mantenedores do BIND e do ISC DHCP. Estou mais do que feliz em ajudar alguém que tenha problemas com um deles (se o tempo permitir).
Knobee
Seus slides de "DNSSEC em 6 minutos" fornecem um 404 agora. Existe um novo URL?
e40
-1

No terminal: dig tunnelix.com + dnssec

Você precisa encontrar o RRSIG (RRset Signature) que aponta para uma assinatura DNSSEC.

Resposta do Exemplo1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Caso contrário, valide seu DNSSEC através do verificador DNSSEC gratuito online. https://dnssec-debugger.verisignlabs.com

Para mais informações, consulte estes links que podem ser úteis:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
fonte
2
Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
bertieb 30/04
Atualizei a resposta conforme solicitado. Obrigado
Nitin J Mutkawoa