Bagaimana saya bisa memeriksa apakah suatu domain menggunakan DNSSEC?

20

DNSSEC telah digunakan pada beberapa domain teratas sekarang. Tetapi bagaimana saya bisa melihat jika suatu situs / domain menggunakan DNSSEC? Apakah itu ditampilkan di browser? atau adakah perintah windows atau linux untuk melihatnya? atau alat untuk itu?

Jonas
sumber

Jawaban:

19

dig [zone] dnskey

Itu akan menunjukkan kepada Anda jika ada DNSKEY RRset yang diperlukan di zona yang akan digunakan untuk memvalidasi RRset di zona.

Jika Anda ingin melihat apakah server rekursif Anda memvalidasi zona,

dig +dnssec [zone] dnskey

Ini akan mengatur bit DO (dnssec OK) pada permintaan keluar dan menyebabkan resolver upstream untuk mengatur bit AD (data terotentikasi) pada paket kembali jika data divalidasi dan juga memberi Anda RRSIG terkait (jika zona di pertanyaan telah ditandatangani) walaupun tidak dapat memvalidasi respons.

Anda mungkin ingin melihat kelompok slide terakhir dalam presentasi "DNSSEC dalam 6 Menit" saya (banyak tentang debugging DNSSEC). Presentasi itu agak lama di sekitar tentang menyebarkan DNSSEC (Anda harus benar-benar melihat BIND 9.7 untuk hal-hal yang baik), tetapi debugging telah berubah sedikit.

Ada juga presentasi yang saya berikan di NANOG 50 tentang penyebaran DNSSEC BIND 9,7 .

Kenop
sumber
2
Saya telah ditanyai tentang serverfault untuk mengakui bahwa saya benar-benar bekerja untuk ISC, pengelola BIND dan ISC DHCP. Saya sangat senang membantu siapa pun yang memiliki masalah dengan salah satunya (waktu yang memungkinkan).
Knobee
Slide Anda untuk "DNSSEC dalam 6 menit" berikan 404 sekarang. Apakah ada URL baru?
e40
URL baru tersebut nampaknya adalah: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40
-1

Di Terminal: gali tunnelix.com + dnssec

Anda perlu menemukan RRSIG (RRset Signature) yang mengarah ke tanda tangan DNSSEC.

Jawaban dari Example1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Jika tidak, validasi DNSSEC Anda melalui pemeriksa DNSSEC online gratis. https://dnssec-debugger.verisignlabs.com

Untuk informasi lebih lanjut lihat tautan ini yang mungkin berguna:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
sumber
2
Sementara ini secara teoritis dapat menjawab pertanyaan, akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan menyediakan tautan untuk referensi.
bertieb
Saya memperbarui jawabannya seperti yang diminta. Terima kasih
Nitin J Mutkawoa