Comment puis-je vérifier si un domaine utilise DNSSEC?

20

DNSSEC a été déployé sur certains topdomains maintenant. Mais comment pourrais-je voir si un site / domaine utilise DNSSEC? Est-il affiché dans le navigateur? ou existe-t-il une fenêtre ou une commande linux pour le voir? ou un outil pour cela?

Jonas
la source

Réponses:

19

dig [zone] dnskey

Cela vous montrera s'il y a le RRset DNSKEY requis dans la zone qui sera utilisé pour valider les RRsets dans la zone.

Si vous voulez voir si votre serveur récursif valide la zone,

dig +dnssec [zone] dnskey

Cela définira le bit DO (dnssec OK) sur la requête sortante et amènera le résolveur en amont à définir le bit AD (données authentifiées) sur le paquet de retour si les données sont validées et vous fournira également les RRSIG associés (si la zone dans question est signée) même s'il n'est pas en mesure de valider la réponse.

Vous voudrez peut-être jeter un œil au dernier groupe de diapositives de ma présentation "DNSSEC en 6 minutes" (beaucoup sur le débogage de DNSSEC). Cette présentation est un peu longue sur le déploiement du DNSSEC (vous devriez vraiment regarder BIND 9.7 pour les bonnes choses), mais le débogage a peu changé.

Il y a aussi une présentation que j'ai faite au NANOG 50 sur le déploiement de BIND 9.7 DNSSEC .

Knobee
la source
2
On m'a demandé sur serverfault d'admettre que je travaille réellement pour ISC, les mainteneurs de BIND et ISC DHCP. Je suis plus qu'heureux d'aider toute personne qui a des problèmes avec l'un ou l'autre (si le temps le permet).
Knobee
Vos diapositives pour "DNSSEC en 6 minutes" donnent maintenant un 404. Y a-t-il une nouvelle URL?
e40
La nouvelle URL semble être: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40
-1

Sur le terminal: creuser tunnelix.com + dnssec

Vous devez trouver le RRSIG (RRset Signature) qui pointe vers une signature DNSSEC.

Réponse de l'exemple 1: tunnelix.com. 300 IN RRSIG A 13 2300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Sinon, validez votre DNSSEC via le vérificateur DNSSEC gratuit en ligne. https://dnssec-debugger.verisignlabs.com

Pour plus d'informations, reportez-vous à ces liens qui pourraient être utiles:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
la source
2
Bien que cela puisse théoriquement répondre à la question, il serait préférable d'inclure ici les parties essentielles de la réponse et de fournir le lien de référence.
bertieb
J'ai mis à jour la réponse comme demandé. Merci
Nitin J Mutkawoa