DNSSEC验证
在线验证域名DNSSEC状态,解析DNSKEY/DS/RRSIG并判断签名链是否有效,适用于DNS安全排查
DNSSEC 验证依赖公开 DoH 解析服务返回的 AD 标志与 DNSSEC 记录,结果可用于排查与对照,但不等同于注册商后台配置。
输入域名
DNSSEC 验证工具使用文档
什么是 DNSSEC?
DNSSEC(DNS Security Extensions)是 DNS 的安全扩展,通过数字签名保证 DNS 数据的完整性与真实性。
启用 DNSSEC 后,解析器可以验证 DNS 响应是否被篡改,从而降低 DNS 欺骗与缓存投毒风险。
验证流程
1
查询 DNSKEY
获取域名的 DNSKEY 记录与对应 RRSIG。
2
查询 DS
检查上级区域是否存在该域名的 DS 记录。
3
观察 AD 标志
解析器完成链路验证时,响应会标记 AD=true。
4
综合判断
结合 DNSKEY、DS 与 AD 结果输出安全状态与排查方向。
常见问题
如何启用 DNSSEC?
一般需要在 DNS 托管侧开启签名并生成密钥,然后到注册商处提交 DS 记录(或使用自动 DNSSEC)。
DNSSEC 会影响性能吗?
DNSSEC 会增加响应大小与签名验证开销,但通常可通过缓存与现代算法将影响控制在可接受范围。
为什么显示“未委派/异常”?
常见原因包括 DS 未提交或不匹配、签名过期、切换密钥未正确滚动、解析器缓存未更新等。
常见算法
RSASHA256
SHA-256(推荐)
RSASHA1
SHA-1(不推荐)
ECDSAP256SHA256
ECC 曲线(现代)
ED25519
Ed25519(较新)