Інструменти мережевої діагностики

Перевірка DNSSEC

Чи підписаний і валідований домен?

esc
Ваш IP 8.8.8.8 або google.com

DNS та записи

Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNS

Доставлюваність пошти

Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLS

Мережа та веб

Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкриті

Домен

Пошук WHOIS Реєстраційні дані для доменів, IP та ASN

Що таке DNSSEC?

DNSSEC (DNS Security Extensions) криптографічно підписує записи DNS, щоб резолвери могли переконатися, що їх не підробляли, захищаючи від отруєння кешу й підробки. Він додає ланцюжок довіри поверх звичайного DNS, не змінюючи значення записів. IPeek запитує валідувальний резолвер DNS-over-HTTPS і повідомляє, чи підписаний домен і чи автентифікований він.

Як DNSSEC будує ланцюжок довіри

DNSSEC працює, підписуючи кожну зону приватним ключем і публікуючи відповідний відкритий ключ у DNS. Записи підписуються (RRSIG), ключі публікуються (DNSKEY), а відбиток ключа зони (запис DS) розміщується у батьківській зоні. Це пов’язує вашу зону з її батьком, який пов’язується зі своїм батьком, аж до кореня — безперервний ланцюжок довіри. Валідувальний резолвер іде за цим ланцюжком від кореня донизу, перевіряючи кожен підпис, і довіряє лише відповідям, чиї підписи валідуються.

Як читати результати перевірки DNSSEC

IPeek повідомляє, чи підписаний домен DNSSEC і чи автентифікує його валідувальний резолвер. Автентифікований результат (часто показаний як прапор AD, або Authenticated Data) означає, що ланцюжок довіри неушкоджений і записи перевірено. Якщо домен непідписаний, DNSSEC просто не ввімкнено — це поширено й не є помилкою, але означає, що записи не захищені. Підписаний домен, що не проходить валідацію, серйозніший: він указує на зламаний ланцюжок, зазвичай відсутній чи невідповідний запис DS у реєстратора.

Поширені проблеми DNSSEC і як їх виправити

Найпоширеніший збій — зламаний ланцюжок довіри, коли зона підписана, але запис DS у батька відсутній, застарілий чи не відповідає поточному ключу. Це змушує валідувальні резолвери повертати SERVFAIL і може повністю вивести домен з ладу для користувачів за валідувальними резолверами. Зазвичай це трапляється під час ротації ключів чи коли DNSSEC вмикають без завантаження запису DS до реєстратора. Виправте це, переконавшись, що запис DS у реєстратора відповідає активному ключу вашої зони, і ніколи не видаляйте старі ключі, доки оновлення DS не пошириться.

Поширені запитання

Що означає, якщо домен підписаний DNSSEC?

Підписаний DNSSEC домен має криптографічні підписи на своїх записах DNS, що дозволяє валідувальним резолверам підтвердити, що відповіді справжні й незмінені. Самого підписання, проте, недостатньо: батьківська зона також має містити відповідний запис DS, щоб ланцюжок довіри досягав домену. Підписаний і правильно делегований домен захищений від підробки й отруєння кешу.

Чи є проблемою, якщо домен не підписаний DNSSEC?

Ні, непідписаний домен не є помилкою — багато доменів не використовують DNSSEC. Це просто означає, що записи не несуть криптографічного захисту й теоретично можуть бути підроблені чи отруєні в дорозі. Увімкнення DNSSEC додає цей захист, але воно необов’язкове й потребує правильного налаштування як у вашого DNS-постачальника, так і в реєстратора.

Що таке запис DS і чому він важливий?

Запис DS (Delegation Signer) — це відбиток ключа підпису вашої зони, опублікований у батьківській зоні в реєстратора. Він пов’язує вашу підписану зону з ланцюжком довіри над нею. Якщо запис DS відсутній чи не відповідає вашому поточному ключу, валідувальні резолвери не можуть перевірити домен і можуть повністю його відхилити, тож тримати DS синхронізованим критично важливо.

Що означає прапор AD у результаті DNSSEC?

AD означає Authenticated Data. Коли валідувальний резолвер встановлює прапор AD, він підтверджує, що підписи DNSSEC відповіді було перевірено й ланцюжок довіри успішно валідовано. Його відсутність на підписаному домені може вказувати на збій валідації або на те, що резолвер не валідував. IPeek використовує валідувальний резолвер, тож прапор відображає справжню автентифікацію.

Чому підписаний DNSSEC домен може не пройти валідацію?

Зазвичай причина — зламаний ланцюжок довіри: запис DS у реєстратора відсутній, застарілий чи не відповідає активному ключу зони, часто після ротації ключів. Валідувальні резолвери тоді повертають SERVFAIL, що може зробити домен недоступним для уражених користувачів. Узгодження запису DS реєстратора з поточним ключем підпису виправляє це.

Пов'язані інструменти

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어