Answers:
dig [zone] dnskey
这将向您显示该区域中是否存在所需的DNSKEY RRset,它将用于验证区域中的RRset。
如果要查看递归服务器是否正在验证区域,
dig +dnssec [zone] dnskey
如果数据经过验证,这将设置出站查询上的DO(dnssec OK)位,并使上游解析器将返回数据包上的AD(经过身份验证的数据)位置1,并为您提供相关的RRSIG(如果区域位于问题已签名),即使它无法验证响应也是如此。
您可能想看一下我的“ 6分钟内的DNSSEC”演示文稿中的最后一组幻灯片(有关调试DNSSEC的大量知识)。该演示对于部署DNSSEC有点麻烦(您应该真正看一下BIND 9.7的优点),但是调试几乎没有改变。
我还在NANOG 50上做了一个有关BIND 9.7 DNSSEC部署的演讲。
我不认为它当前显示在浏览器中。
firefox的扩展名可能会满足您的要求:
或者,也许这些工具之一?
在终端上:挖tunnelix.com + dnssec
您需要找到指向DNSSEC签名的RRSIG(RRset签名)。
示例1的答案:tunnelix.com。300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com。Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
否则,请通过在线免费DNSSEC检查器来验证您的DNSSEC。 https://dnssec-debugger.verisignlabs.com
有关更多信息,请参考以下链接,这些链接可能会有用: