DNSSEC был развернут на некоторых topdomains сейчас. Но как я могу узнать, использует ли сайт / домен DNSSEC? Это отображается в браузере? или есть команда windows или linux, чтобы увидеть это? или инструмент для этого?
2 ответа
16
dig [zone] dnskey
Это покажет вам, есть ли в зоне RRset DNSKEY, который будет использоваться для проверки RRsets в зоне.
Если вы хотите увидеть, проверяет ли ваш рекурсивный сервер зону,
dig +dnssec [zone] dnskey
Это установит бит DO (dnssec OK) в исходящем запросе и заставит преобразователь восходящего потока установить бит AD (аутентифицированные данные) в возвращаемом пакете, если данные проверены, а также предоставит вам соответствующие RRSIG (если зона в вопрос подписан), даже если он не может подтвердить ответ.
Возможно, вы захотите взглянуть на последнюю группу слайдов в моей презентации "DNSSEC за 6 минут" (много об отладке DNSSEC). Эта презентация немного длинна в развертывании DNSSEC (вам действительно стоит взглянуть на BIND 9.7 для хорошего), но отладка мало изменилась.
В NANOG 50 я также представил презентацию о развертывании BIND 9.7 DNSSEC.
5
Я не верю, что это в настоящее время отображается в браузере.
У Firefox есть расширение, которое может делать то, что вы хотите:
в качестве альтернативы, может быть, один из этих инструментов?