Herramientas de diagnóstico de red

Comprobación DNSSEC

¿Está el dominio firmado y validado?

esc
Tu IP 8.8.8.8 o google.com

DNS y registros

Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNS

Entregabilidad de correo

Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTP

Red y web

Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertos

Dominio

Consulta WHOIS Datos de registro de dominios, IPs y ASNs

¿Qué es DNSSEC?

DNSSEC (DNS Security Extensions) firma criptográficamente los registros DNS para que los resolutores puedan verificar que no han sido manipulados, defendiéndose del envenenamiento de caché y la suplantación. Añade una cadena de confianza sobre el DNS ordinario sin cambiar el significado de los registros. IPeek consulta un resolutor DNS-over-HTTPS validante e informa de si el dominio está firmado y autenticado.

Cómo construye DNSSEC una cadena de confianza

DNSSEC funciona firmando cada zona con una clave privada y publicando la clave pública correspondiente en el DNS. Los registros se firman (RRSIG), las claves se publican (DNSKEY) y una huella de la clave de la zona (el registro DS) se coloca en la zona padre. Esto vincula tu zona con su padre, que se vincula con el suyo, hasta llegar a la raíz: una cadena de confianza continua. Un resolutor validante sigue esa cadena desde la raíz hacia abajo, comprobando cada firma, y solo confía en respuestas cuyas firmas verifican.

Cómo leer tus resultados de la comprobación DNSSEC

IPeek informa de si el dominio está firmado con DNSSEC y de si un resolutor validante lo autentica. Un resultado autenticado (a menudo mostrado como el flag AD, o Authenticated Data) significa que la cadena de confianza está intacta y los registros están verificados. Si el dominio no está firmado, DNSSEC simplemente no está activado: algo común y no un error, pero significa que los registros no están protegidos. Un dominio firmado que falla la validación es más grave: apunta a una cadena rota, normalmente un registro DS ausente o que no coincide en el registrador.

Problemas habituales de DNSSEC y cómo arreglarlos

El fallo más común es una cadena de confianza rota, donde la zona está firmada pero el registro DS en el padre está ausente, obsoleto o no coincide con la clave actual. Esto hace que los resolutores validantes devuelvan SERVFAIL y puede dejar el dominio completamente inaccesible para los usuarios tras resolutores validantes. Suele ocurrir durante las rotaciones de clave o al activar DNSSEC sin subir el registro DS al registrador. Arréglalo asegurándote de que el registro DS del registrador coincida con la clave activa de tu zona, y nunca elimines claves antiguas antes de que la actualización del DS haya propagado.

Preguntas frecuentes

¿Qué significa que un dominio esté firmado con DNSSEC?

Un dominio firmado con DNSSEC tiene firmas criptográficas en sus registros DNS, lo que permite a los resolutores validantes confirmar que las respuestas son genuinas y no modificadas. Sin embargo, firmar por sí solo no basta: la zona padre también debe tener un registro DS coincidente para que la cadena de confianza alcance el dominio. Un dominio firmado y correctamente delegado está protegido contra la suplantación y el envenenamiento de caché.

¿Es un problema que un dominio no esté firmado con DNSSEC?

No, un dominio sin firmar no es un error; muchos dominios no usan DNSSEC. Simplemente significa que los registros no llevan protección criptográfica y podrían, en teoría, suplantarse o envenenarse en tránsito. Activar DNSSEC añade esa protección, pero es opcional y requiere una configuración correcta tanto en tu proveedor de DNS como en el registrador.

¿Qué es un registro DS y por qué importa?

Un registro DS (Delegation Signer) es una huella de la clave de firma de tu zona, publicada en la zona padre en el registrador. Vincula tu zona firmada con la cadena de confianza superior. Si el registro DS está ausente o no coincide con tu clave actual, los resolutores validantes no pueden verificar el dominio y pueden rechazarlo por completo, así que mantener el DS sincronizado es crítico.

¿Qué significa el flag AD en un resultado DNSSEC?

AD significa Authenticated Data. Cuando un resolutor validante activa el flag AD, confirma que las firmas DNSSEC de la respuesta se comprobaron y que la cadena de confianza se verificó correctamente. Su ausencia en un dominio firmado puede indicar un fallo de validación o que el resolutor no validó. IPeek usa un resolutor validante para que el flag refleje una autenticación genuina.

¿Por qué un dominio firmado con DNSSEC fallaría la validación?

La causa habitual es una cadena de confianza rota: el registro DS en el registrador está ausente, desactualizado o no coincide con la clave activa de la zona, a menudo tras una rotación de clave. Los resolutores validantes devuelven entonces SERVFAIL, lo que puede dejar el dominio inaccesible para los usuarios afectados. Alinear el registro DS del registrador con la clave de firma actual lo soluciona.

Herramientas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어