Verifica DNSSEC
Controlla se un dominio è firmato con DNSSEC e si convalida correttamente.
DNSSEC aggiunge firme crittografiche ai record DNS per impedirne la contraffazione (cache poisoning, spoofing). Questo strumento interroga un resolver di convalida e ti indica se il dominio pubblica chiavi DNSSEC (DNSKEY) e se la catena di fiducia si convalida (flag AD).
FAQ su DNSSEC
DNSSEC (DNS Security Extensions) è un insieme di estensioni che aggiunge firme crittografiche alle risposte DNS. Consente di verificare che una risposta provenga davvero dal dominio legittimo e non sia stata manomessa durante il transito.
AD (Authenticated Data) è un bit che un resolver di convalida imposta quando ha verificato con successo l'intera catena DNSSEC del dominio. Se è impostato, la risposta è autentica e non è stata contraffatta.
Il record DNSKEY contiene la chiave pubblica usata per firmare i record della zona. Se un dominio non pubblica alcun DNSKEY, non ha DNSSEC abilitato.
Di solito a causa di firme RRSIG scadute o di un record DS errato o mancante presso il genitore (TLD). In questo stato «bogus» i resolver di convalida rifiutano le risposte, il che può rendere il dominio irraggiungibile.
Pronto a migliorare il tuo DNS?
Scegli il miglior server DNS gratuito per le tue esigenze e configuralo in pochi minuti.