Ferramentas de Diagnóstico de Rede

Verificação DNSSEC

O domínio está assinado e validado?

esc
Seu IP 8.8.8.8 ou google.com

DNS e Registros

Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNS

Entregabilidade de E-mail

Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTP

Rede e Web

Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertas

Domínio

Consulta WHOIS Dados de registro de domínios, IPs e ASNs

O que é DNSSEC?

O DNSSEC (DNS Security Extensions) assina criptograficamente os registros DNS para que os resolvedores possam verificar que não foram adulterados, defendendo contra envenenamento de cache e spoofing. Ele adiciona uma cadeia de confiança sobre o DNS comum sem mudar o significado dos registros. O IPeek consulta um resolvedor DNS-over-HTTPS validador e informa se o domínio está assinado e autenticado.

Como o DNSSEC constrói uma cadeia de confiança

O DNSSEC funciona assinando cada zona com uma chave privada e publicando a chave pública correspondente no DNS. Os registros são assinados (RRSIG), as chaves são publicadas (DNSKEY) e uma impressão digital da chave da zona (o registro DS) é colocada na zona pai. Isso vincula sua zona à zona pai, que se vincula à sua pai, e assim por diante até a raiz — uma cadeia de confiança contínua. Um resolvedor validador segue essa cadeia da raiz para baixo, verificando cada assinatura, e só confia em respostas cujas assinaturas validam.

Como interpretar os resultados da verificação DNSSEC

O IPeek informa se o domínio está assinado com DNSSEC e se um resolvedor validador o autentica. Um resultado autenticado (frequentemente mostrado como a flag AD, ou Authenticated Data) significa que a cadeia de confiança está intacta e os registros estão verificados. Se o domínio não está assinado, o DNSSEC simplesmente não está habilitado — comum e não um erro, mas significa que os registros não estão protegidos. Um domínio assinado que falha na validação é mais grave: aponta para uma cadeia quebrada, geralmente um registro DS ausente ou incompatível no registrador.

Problemas comuns de DNSSEC e como corrigi-los

A falha mais comum é uma cadeia de confiança quebrada, em que a zona está assinada mas o registro DS no pai está ausente, desatualizado ou não corresponde à chave atual. Isso faz os resolvedores validadores retornarem SERVFAIL e pode deixar o domínio completamente fora do ar para usuários atrás de resolvedores validadores. Geralmente acontece durante rotações de chave ou ao habilitar o DNSSEC sem enviar o registro DS ao registrador. Corrija garantindo que o registro DS no registrador corresponda à chave ativa da sua zona, e nunca remova chaves antigas antes de a atualização do DS ter propagado.

Perguntas frequentes

O que significa um domínio estar assinado com DNSSEC?

Um domínio assinado com DNSSEC tem assinaturas criptográficas em seus registros DNS, permitindo que os resolvedores validadores confirmem que as respostas são genuínas e não modificadas. A assinatura sozinha não basta, porém: a zona pai também precisa ter um registro DS correspondente para que a cadeia de confiança alcance o domínio. Um domínio assinado e delegado corretamente está protegido contra spoofing e envenenamento de cache.

É um problema se um domínio não estiver assinado com DNSSEC?

Não, um domínio não assinado não é um erro — muitos domínios não usam DNSSEC. Significa apenas que os registros não têm proteção criptográfica e poderiam, em teoria, sofrer spoofing ou envenenamento em trânsito. Habilitar o DNSSEC adiciona essa proteção, mas é opcional e exige uma configuração correta tanto no seu provedor de DNS quanto no registrador.

O que é um registro DS e por que ele importa?

Um registro DS (Delegation Signer) é uma impressão digital da chave de assinatura da sua zona, publicada na zona pai no registrador. Ele vincula sua zona assinada à cadeia de confiança acima dela. Se o registro DS estiver ausente ou não corresponder à sua chave atual, os resolvedores validadores não conseguem verificar o domínio e podem reprová-lo por completo, então manter o DS sincronizado é fundamental.

O que significa a flag AD em um resultado DNSSEC?

AD significa Authenticated Data. Quando um resolvedor validador define a flag AD, ele confirma que as assinaturas DNSSEC da resposta foram verificadas e a cadeia de confiança validou com sucesso. Sua ausência em um domínio assinado pode indicar uma falha de validação ou que o resolvedor não validou. O IPeek usa um resolvedor validador para que a flag reflita autenticação genuína.

Por que um domínio assinado com DNSSEC falharia na validação?

A causa habitual é uma cadeia de confiança quebrada: o registro DS no registrador está ausente, desatualizado ou não corresponde à chave ativa da zona, frequentemente após uma rotação de chave. Os resolvedores validadores então retornam SERVFAIL, o que pode tornar o domínio inacessível para os usuários afetados. Alinhar o registro DS do registrador com a chave de assinatura atual corrige isso.

Ferramentas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어