Odpowiedzi:
dig [zone] dnskey
To pokaże, czy w strefie znajduje się wymagany zestaw kluczy DNSKEY, który będzie używany do sprawdzania poprawności zestawów kluczy DNS w strefie.
Jeśli chcesz sprawdzić, czy serwer rekurencyjny sprawdza poprawność strefy,
dig +dnssec [zone] dnskey
Spowoduje to ustawienie bitu DO (dnssec OK) w zapytaniu wychodzącym i spowoduje, że program rozpoznający w górę ustawi bit AD (dane uwierzytelnione) w pakiecie zwrotnym, jeśli dane zostaną zatwierdzone, a także zapewni powiązane z nimi RRSIG (jeśli strefa w pytanie jest podpisane), nawet jeśli nie jest w stanie zweryfikować odpowiedzi.
Możesz rzucić okiem na ostatnią grupę slajdów w mojej prezentacji „DNSSEC za 6 minut” (wiele o debugowaniu DNSSEC). Ta prezentacja jest nieco długa w głowie na temat wdrażania DNSSEC (naprawdę powinieneś spojrzeć na BIND 9.7 dla dobrych rzeczy), ale debugowanie niewiele się zmieniło.
Jest też prezentacja, którą wygłosiłem na NANOG 50 na temat wdrożenia BIND 9.7 DNSSEC .
Nie sądzę, że jest to obecnie wyświetlane w przeglądarce.
Istnieje rozszerzenie firefox, które może robić, co chcesz:
alternatywnie, może jedno z tych narzędzi?
Na terminalu: dig tunnelix.com + dnssec
Musisz znaleźć RRSIG (RRset Signature), który wskazuje na podpis DNSSEC.
Odpowiedź z przykładu 1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
W przeciwnym razie sprawdź poprawność DNSSEC za pomocą bezpłatnego internetowego sprawdzania DNSSEC. https://dnssec-debugger.verisignlabs.com
Aby uzyskać więcej informacji, zapoznaj się z tymi linkami, które mogą być przydatne: