17

DNSSEC был развернут на некоторых topdomains сейчас. Но как я могу узнать, использует ли сайт / домен DNSSEC? Это отображается в браузере? или есть команда windows или linux, чтобы увидеть это? или инструмент для этого?

2 ответа2

16

dig [zone] dnskey

Это покажет вам, есть ли в зоне RRset DNSKEY, который будет использоваться для проверки RRsets в зоне.

Если вы хотите увидеть, проверяет ли ваш рекурсивный сервер зону,

dig +dnssec [zone] dnskey

Это установит бит DO (dnssec OK) в исходящем запросе и заставит преобразователь восходящего потока установить бит AD (аутентифицированные данные) в возвращаемом пакете, если данные проверены, а также предоставит вам соответствующие RRSIG (если зона в вопрос подписан), даже если он не может подтвердить ответ.

Возможно, вы захотите взглянуть на последнюю группу слайдов в моей презентации "DNSSEC за 6 минут" (много об отладке DNSSEC). Эта презентация немного длинна в развертывании DNSSEC (вам действительно стоит взглянуть на BIND 9.7 для хорошего), но отладка мало изменилась.

В NANOG 50 я также представил презентацию о развертывании BIND 9.7 DNSSEC.

5

Я не верю, что это в настоящее время отображается в браузере.

У Firefox есть расширение, которое может делать то, что вы хотите:

в качестве альтернативы, может быть, один из этих инструментов?

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .