Відповіді:
dig [zone] dnskey
Це покаже вам, чи є необхідний DNSKEY RRset у зоні, який буде використаний для перевірки RRsets у зоні.
Якщо ви хочете перевірити, чи рекурсивний сервер перевіряє зону,
dig +dnssec [zone] dnskey
Це встановить біт DO (dnssec OK) на вихідний запит і призведе до того, що розділювач верхніх потоків встановить біт AD (автентифікованих даних) на зворотному пакеті, якщо дані перевірені, а також надасть відповідні RRSIG (якщо зона в питання підписано), навіть якщо воно не в змозі підтвердити відповідь.
Ви можете переглянути останню групу слайдів у моїй презентації "DNSSEC за 6 хвилин" (багато про налагодження DNSSEC). Ця презентація трохи довга в питанні про розгортання DNSSEC (ви дійсно повинні дивитись на BIND 9.7 для хорошого матеріалу), але налагодження мало змінилося.
Є також презентація, яку я виголосив в NANOG 50 про розгортання BIND 9.7 DNSSEC .
Я не вірю, що він зараз відображається у браузері.
На Firefox є розширення, яке може робити те, що ви хочете:
або, можливо, один із цих інструментів?
На терміналі: викопайте tunnelix.com + dnssec
Вам потрібно знайти RRSIG (RRset Signature), який вказує на підпис DNSSEC.
Відповідь із Прикладу1: tunnelix.com. 300 В RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
В іншому випадку підтвердіть свій DNSSEC через онлайн-безкоштовну перевірку DNSSEC. https://dnssec-debugger.verisignlabs.com
Для отримання додаткової інформації зверніться до цих посилань, які можуть бути корисні: