Bagaimana saya bisa memeriksa apakah suatu domain menggunakan DNSSEC?
20
DNSSEC telah digunakan pada beberapa domain teratas sekarang. Tetapi bagaimana saya bisa melihat jika suatu situs / domain menggunakan DNSSEC? Apakah itu ditampilkan di browser? atau adakah perintah windows atau linux untuk melihatnya? atau alat untuk itu?
Itu akan menunjukkan kepada Anda jika ada DNSKEY RRset yang diperlukan di zona yang akan digunakan untuk memvalidasi RRset di zona.
Jika Anda ingin melihat apakah server rekursif Anda memvalidasi zona,
dig +dnssec [zone] dnskey
Ini akan mengatur bit DO (dnssec OK) pada permintaan keluar dan menyebabkan resolver upstream untuk mengatur bit AD (data terotentikasi) pada paket kembali jika data divalidasi dan juga memberi Anda RRSIG terkait (jika zona di pertanyaan telah ditandatangani) walaupun tidak dapat memvalidasi respons.
Anda mungkin ingin melihat kelompok slide terakhir dalam presentasi "DNSSEC dalam 6 Menit" saya (banyak tentang debugging DNSSEC). Presentasi itu agak lama di sekitar tentang menyebarkan DNSSEC (Anda harus benar-benar melihat BIND 9.7 untuk hal-hal yang baik), tetapi debugging telah berubah sedikit.
Saya telah ditanyai tentang serverfault untuk mengakui bahwa saya benar-benar bekerja untuk ISC, pengelola BIND dan ISC DHCP. Saya sangat senang membantu siapa pun yang memiliki masalah dengan salah satunya (waktu yang memungkinkan).
Knobee
Slide Anda untuk "DNSSEC dalam 6 menit" berikan 404 sekarang. Apakah ada URL baru?
Sementara ini secara teoritis dapat menjawab pertanyaan, akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan menyediakan tautan untuk referensi.
bertieb
Saya memperbarui jawabannya seperti yang diminta. Terima kasih
Saya tidak percaya ini sedang ditampilkan di browser.
Ada ekstensi ke firefox yang mungkin melakukan apa yang Anda inginkan:
alternatifnya, mungkin salah satu dari alat ini?
sumber
Di Terminal: gali tunnelix.com + dnssec
Anda perlu menemukan RRSIG (RRset Signature) yang mengarah ke tanda tangan DNSSEC.
Jawaban dari Example1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
Jika tidak, validasi DNSSEC Anda melalui pemeriksa DNSSEC online gratis. https://dnssec-debugger.verisignlabs.com
Untuk informasi lebih lanjut lihat tautan ini yang mungkin berguna:
https://tunnelix.com/counter-dns-attack-enabling-dnssec/
https://tunnelix.com/anatomy-of-a-simple-dig-result/
sumber