DNSSECチェッカー
ドメインがDNSSECで署名され、正しく検証されるかを確認します。
DNSSECはDNSレコードに暗号署名を付与し、レコードの偽造(キャッシュポイズニング、なりすまし)を防ぎます。このツールは検証を行うリゾルバーに問い合わせ、ドメインがDNSSEC鍵(DNSKEY)を公開しているか、そして信頼の連鎖が検証されるか(ADフラグ)を表示します。
DNSSECに関するよくある質問
DNSSEC(DNS Security Extensions)は、DNS応答に暗号署名を付与する一連の拡張機能です。応答が正規のドメインから本当に届いたものであり、転送中に改ざんされていないことを検証できます。
AD(Authenticated Data)は、検証を行うリゾルバーがドメインのDNSSEC連鎖全体の検証に成功したときに設定するビットです。これが設定されていれば、その応答は本物であり、偽造されていません。
DNSKEYレコードは、ゾーンのレコードに署名するために使われる公開鍵を保持します。ドメインがDNSKEYを公開していない場合、DNSSECは有効になっていません。
通常、RRSIG署名の有効期限切れや、親(TLD)側のDSレコードの誤りまたは欠落が原因です。この「bogus」状態では、検証を行うリゾルバーが応答を拒否するため、ドメインにアクセスできなくなることがあります。