DNSSEC ได้รับการปรับใช้กับโดเมนยอดนิยมบางรายการในขณะนี้ แต่ฉันจะดูได้อย่างไรว่าเว็บไซต์ / โดเมนกำลังใช้ DNSSEC อยู่ มันแสดงในเบราว์เซอร์หรือไม่? หรือมีคำสั่ง windows หรือ linux เพื่อดูมัน? หรือเครื่องมือสำหรับมัน
DNSSEC ได้รับการปรับใช้กับโดเมนยอดนิยมบางรายการในขณะนี้ แต่ฉันจะดูได้อย่างไรว่าเว็บไซต์ / โดเมนกำลังใช้ DNSSEC อยู่ มันแสดงในเบราว์เซอร์หรือไม่? หรือมีคำสั่ง windows หรือ linux เพื่อดูมัน? หรือเครื่องมือสำหรับมัน
คำตอบ:
dig [zone] dnskey
จะแสดงให้คุณทราบหากมี DNSKEY RRset ที่ต้องการในโซนที่จะใช้ในการตรวจสอบ RRsets ในโซน
ถ้าคุณต้องการตรวจสอบว่าเซิร์ฟเวอร์วนซ้ำของคุณกำลังตรวจสอบโซนหรือไม่
dig +dnssec [zone] dnskey
สิ่งนี้จะตั้งค่าบิต DO (dnssec OK) บนเคียวรีขาออกและทำให้ตัวแก้ไขต้นน้ำตั้งค่าบิต AD (ข้อมูลที่รับรองความถูกต้อง) บนแพ็กเก็ตที่ส่งคืนหากข้อมูลได้รับการตรวจสอบแล้วและยังให้ RRSIG ที่เกี่ยวข้อง คำถามถูกลงชื่อ) แม้ว่าจะไม่สามารถตรวจสอบการตอบสนองได้
คุณอาจต้องการดูกลุ่มสไลด์สุดท้ายในการนำเสนอ "DNSSEC in 6 Minutes"ของฉัน(จำนวนมากเกี่ยวกับการดีบัก DNSSEC) การนำเสนอนั้นค่อนข้างยาวในเรื่องการปรับใช้ DNSSEC (คุณควรดู BIND 9.7 สำหรับสิ่งที่ดี) แต่การแก้ไขข้อบกพร่องมีการเปลี่ยนแปลงเล็กน้อย
นอกจากนี้ยังมีการนำเสนอให้ที่ฉัน NANOG 50 เกี่ยวกับห่วง 9.7 การใช้งาน
ฉันไม่เชื่อว่ามันปรากฏในเบราว์เซอร์ในปัจจุบัน
มีส่วนขยายของ firefox ซึ่งอาจทำสิ่งที่คุณต้องการ:
หรืออาจเป็นหนึ่งในเครื่องมือเหล่านี้
บนเทอร์มินัล: dig tunnelix.com + dnssec
คุณต้องค้นหา RRSIG (RRset Signature) ที่ชี้ไปที่ลายเซ็น DNSSEC
ตอบจากตัวอย่างที่ 1: tunnelix.com 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
มิฉะนั้นให้ตรวจสอบ DNSSEC ของคุณผ่านตัวตรวจสอบ DNSSEC ออนไลน์ฟรี https://dnssec-debugger.verisignlabs.com
สำหรับข้อมูลเพิ่มเติมโปรดอ้างถึงลิงก์เหล่านี้ซึ่งอาจมีประโยชน์: