DNSSEC wurde jetzt auf einigen Topdomains bereitgestellt. Aber wie kann ich feststellen, ob eine Site / Domain DNSSEC verwendet? Wird es im Browser angezeigt? oder gibt es Windows oder Linux-Befehl, um es zu sehen? oder ein Werkzeug dafür?
quelle
DNSSEC wurde jetzt auf einigen Topdomains bereitgestellt. Aber wie kann ich feststellen, ob eine Site / Domain DNSSEC verwendet? Wird es im Browser angezeigt? oder gibt es Windows oder Linux-Befehl, um es zu sehen? oder ein Werkzeug dafür?
dig [zone] dnskey
Hier wird angezeigt, ob sich das erforderliche DNSKEY-RRset in der Zone befindet, mit dem die RRsets in der Zone überprüft werden.
Wenn Sie sehen möchten, ob Ihr rekursiver Server die Zone überprüft,
dig +dnssec [zone] dnskey
Dies setzt das DO-Bit (dnssec OK) in der ausgehenden Abfrage und veranlasst den Upstream-Resolver, das AD-Bit (authentifizierte Daten) im Rückgabepaket zu setzen, wenn die Daten validiert sind, und liefert Ihnen auch die zugehörigen RRSIGs (wenn die Zone in ist) Frage ist signiert), auch wenn die Antwort nicht validiert werden kann.
Vielleicht möchten Sie einen Blick auf die letzte Foliengruppe in meiner Präsentation "DNSSEC in 6 Minuten" werfen (viele Informationen zum Debuggen von DNSSEC). Diese Präsentation über die Bereitstellung von DNSSEC ist ein bisschen langwierig (Sie sollten sich wirklich BIND 9.7 ansehen, um die guten Dinge zu erfahren), aber das Debuggen hat sich wenig geändert.
Es gibt auch einen Vortrag, den ich auf der NANOG 50 über die Bereitstellung von BIND 9.7 DNSSEC gehalten habe .
Ich glaube nicht, dass es derzeit im Browser angezeigt wird.
Es gibt eine Erweiterung für Firefox, die tun kann, was Sie wollen:
alternativ vielleicht eines dieser tools?
quelle
Auf dem Terminal: dig tunnelix.com + dnssec
Sie müssen das RRSIG (RRset Signature) finden, das auf eine DNSSEC-Signatur verweist.
Antwort von Beispiel1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
Ansonsten validieren Sie Ihre DNSSEC mit dem kostenlosen Online-DNSSEC-Checker. https://dnssec-debugger.verisignlabs.com
Weitere Informationen finden Sie unter den folgenden Links:
https://tunnelix.com/counter-dns-attack-enabling-dnssec/
https://tunnelix.com/anatomy-of-a-simple-dig-result/
quelle