DNSSEC检测
检查域名的DS、DNSKEY记录,以及验证解析器是否对该区域完成签名验证(AD标志)。
关于这个DNSSEC检测工具
DNSSEC为DNS加上加密签名,使解析器能够检测被伪造或篡改的应答。本工具通过DNS-over-HTTPS查询域名的 DS 和 DNSKEY 记录,并读取验证解析器设置的 AD(Authenticated Data)标志。据此判断该区域是否已签名,以及当前验证是否成功。
- DNSKEY — 发布在区域自身中的公钥。
- DS — 区域密钥的摘要,发布在父区域中,把从根到该域名的信任链连接起来。
- AD标志 — 当应答成功通过认证时,由验证解析器(此处为Cloudflare的
1.1.1.1)设置。
只有当域名同时拥有DNSKEY记录并且父区域有匹配的DS记录、信任链不中断时,域名才算得到妥善保护。相关阅读:DNSSEC详解。
常见问题
我的域名有DNSKEY但没有DS,受保护吗?
不完全。父区域没有DS记录(需上传到注册商)时,解析器无法建立到你密钥的信任链,签名也就无法端到端验证。请在注册商处添加DS记录以完成DNSSEC。
DNSSEC会加密我的DNS查询吗?
不会。DNSSEC提供完整性和真实性(确保应答真实且未被修改),但不提供机密性。要保护查询本身的隐私,需要DNS-over-HTTPS或DNS-over-TLS。
为什么已签名的域名仍显示未认证?
签名(RRSIG)过期、父区域DS缺失或不匹配、时钟偏差都可能破坏验证。此时验证解析器会返回SERVFAIL而非AD标志。