DNSSEC a été déployé sur certains topdomains maintenant. Mais comment pourrais-je voir si un site / domaine utilise DNSSEC? Est-il affiché dans le navigateur? ou existe-t-il une fenêtre ou une commande linux pour le voir? ou un outil pour cela?
DNSSEC a été déployé sur certains topdomains maintenant. Mais comment pourrais-je voir si un site / domaine utilise DNSSEC? Est-il affiché dans le navigateur? ou existe-t-il une fenêtre ou une commande linux pour le voir? ou un outil pour cela?
dig [zone] dnskey
Cela vous montrera s'il y a le RRset DNSKEY requis dans la zone qui sera utilisé pour valider les RRsets dans la zone.
Si vous voulez voir si votre serveur récursif valide la zone,
dig +dnssec [zone] dnskey
Cela définira le bit DO (dnssec OK) sur la requête sortante et amènera le résolveur en amont à définir le bit AD (données authentifiées) sur le paquet de retour si les données sont validées et vous fournira également les RRSIG associés (si la zone dans question est signée) même s'il n'est pas en mesure de valider la réponse.
Vous voudrez peut-être jeter un œil au dernier groupe de diapositives de ma présentation "DNSSEC en 6 minutes" (beaucoup sur le débogage de DNSSEC). Cette présentation est un peu longue sur le déploiement du DNSSEC (vous devriez vraiment regarder BIND 9.7 pour les bonnes choses), mais le débogage a peu changé.
Il y a aussi une présentation que j'ai faite au NANOG 50 sur le déploiement de BIND 9.7 DNSSEC .
Je ne pense pas qu'il soit actuellement affiché dans le navigateur.
Il existe une extension de Firefox qui pourrait faire ce que vous voulez:
alternativement, peut-être l'un de ces outils?
la source
Sur le terminal: creuser tunnelix.com + dnssec
Vous devez trouver le RRSIG (RRset Signature) qui pointe vers une signature DNSSEC.
Réponse de l'exemple 1: tunnelix.com. 300 IN RRSIG A 13 2300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
Sinon, validez votre DNSSEC via le vérificateur DNSSEC gratuit en ligne. https://dnssec-debugger.verisignlabs.com
Pour plus d'informations, reportez-vous à ces liens qui pourraient être utiles:
https://tunnelix.com/counter-dns-attack-enabling-dnssec/
https://tunnelix.com/anatomy-of-a-simple-dig-result/
la source