Herramientas de diagnóstico de red
¿Está el dominio firmado y validado?
DNS y registros
Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNSEntregabilidad de correo
Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTPRed y web
Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertosDominio
Consulta WHOIS Datos de registro de dominios, IPs y ASNsDNSSEC (DNS Security Extensions) firma criptográficamente los registros DNS para que los resolutores puedan verificar que no han sido manipulados, defendiéndose del envenenamiento de caché y la suplantación. Añade una cadena de confianza sobre el DNS ordinario sin cambiar el significado de los registros. IPeek consulta un resolutor DNS-over-HTTPS validante e informa de si el dominio está firmado y autenticado.
DNSSEC funciona firmando cada zona con una clave privada y publicando la clave pública correspondiente en el DNS. Los registros se firman (RRSIG), las claves se publican (DNSKEY) y una huella de la clave de la zona (el registro DS) se coloca en la zona padre. Esto vincula tu zona con su padre, que se vincula con el suyo, hasta llegar a la raíz: una cadena de confianza continua. Un resolutor validante sigue esa cadena desde la raíz hacia abajo, comprobando cada firma, y solo confía en respuestas cuyas firmas verifican.
IPeek informa de si el dominio está firmado con DNSSEC y de si un resolutor validante lo autentica. Un resultado autenticado (a menudo mostrado como el flag AD, o Authenticated Data) significa que la cadena de confianza está intacta y los registros están verificados. Si el dominio no está firmado, DNSSEC simplemente no está activado: algo común y no un error, pero significa que los registros no están protegidos. Un dominio firmado que falla la validación es más grave: apunta a una cadena rota, normalmente un registro DS ausente o que no coincide en el registrador.
El fallo más común es una cadena de confianza rota, donde la zona está firmada pero el registro DS en el padre está ausente, obsoleto o no coincide con la clave actual. Esto hace que los resolutores validantes devuelvan SERVFAIL y puede dejar el dominio completamente inaccesible para los usuarios tras resolutores validantes. Suele ocurrir durante las rotaciones de clave o al activar DNSSEC sin subir el registro DS al registrador. Arréglalo asegurándote de que el registro DS del registrador coincida con la clave activa de tu zona, y nunca elimines claves antiguas antes de que la actualización del DS haya propagado.
Un dominio firmado con DNSSEC tiene firmas criptográficas en sus registros DNS, lo que permite a los resolutores validantes confirmar que las respuestas son genuinas y no modificadas. Sin embargo, firmar por sí solo no basta: la zona padre también debe tener un registro DS coincidente para que la cadena de confianza alcance el dominio. Un dominio firmado y correctamente delegado está protegido contra la suplantación y el envenenamiento de caché.
No, un dominio sin firmar no es un error; muchos dominios no usan DNSSEC. Simplemente significa que los registros no llevan protección criptográfica y podrían, en teoría, suplantarse o envenenarse en tránsito. Activar DNSSEC añade esa protección, pero es opcional y requiere una configuración correcta tanto en tu proveedor de DNS como en el registrador.
Un registro DS (Delegation Signer) es una huella de la clave de firma de tu zona, publicada en la zona padre en el registrador. Vincula tu zona firmada con la cadena de confianza superior. Si el registro DS está ausente o no coincide con tu clave actual, los resolutores validantes no pueden verificar el dominio y pueden rechazarlo por completo, así que mantener el DS sincronizado es crítico.
AD significa Authenticated Data. Cuando un resolutor validante activa el flag AD, confirma que las firmas DNSSEC de la respuesta se comprobaron y que la cadena de confianza se verificó correctamente. Su ausencia en un dominio firmado puede indicar un fallo de validación o que el resolutor no validó. IPeek usa un resolutor validante para que el flag refleje una autenticación genuina.
La causa habitual es una cadena de confianza rota: el registro DS en el registrador está ausente, desactualizado o no coincide con la clave activa de la zona, a menudo tras una rotación de clave. Los resolutores validantes devuelven entonces SERVFAIL, lo que puede dejar el dominio inaccesible para los usuarios afectados. Alinear el registro DS del registrador con la clave de firma actual lo soluciona.