首页DNSSEC验证

DNSSEC验证

在线验证域名DNSSEC状态,解析DNSKEY/DS/RRSIG并判断签名链是否有效,适用于DNS安全排查

DNSSEC 验证依赖公开 DoH 解析服务返回的 AD 标志与 DNSSEC 记录,结果可用于排查与对照,但不等同于注册商后台配置。

输入域名

DNSSEC 验证工具使用文档

什么是 DNSSEC?

DNSSEC(DNS Security Extensions)是 DNS 的安全扩展,通过数字签名保证 DNS 数据的完整性与真实性。

启用 DNSSEC 后,解析器可以验证 DNS 响应是否被篡改,从而降低 DNS 欺骗与缓存投毒风险。

验证流程

1

查询 DNSKEY

获取域名的 DNSKEY 记录与对应 RRSIG。

2

查询 DS

检查上级区域是否存在该域名的 DS 记录。

3

观察 AD 标志

解析器完成链路验证时,响应会标记 AD=true。

4

综合判断

结合 DNSKEY、DS 与 AD 结果输出安全状态与排查方向。

常见问题

如何启用 DNSSEC?

一般需要在 DNS 托管侧开启签名并生成密钥,然后到注册商处提交 DS 记录(或使用自动 DNSSEC)。

DNSSEC 会影响性能吗?

DNSSEC 会增加响应大小与签名验证开销,但通常可通过缓存与现代算法将影响控制在可接受范围。

为什么显示“未委派/异常”?

常见原因包括 DS 未提交或不匹配、签名过期、切换密钥未正确滚动、解析器缓存未更新等。

常见算法

RSASHA256
SHA-256(推荐)
RSASHA1
SHA-1(不推荐)
ECDSAP256SHA256
ECC 曲线(现代)
ED25519
Ed25519(较新)

数据默认在您的本地浏览器上处理,不会上传至服务器。如需上传会明确提示。

© 2026 See-Tool. 保留所有权利。 | 联系站长