DNSSEC Валідатар — праверка DNSSEC анлайн

Сэрвіс правярае наяўнасць і карэктнасць DNSSEC для дамена праз Google DNS-over-HTTPS (DoH) з сцягам DO (DNSSEC OK). Правяраюцца DNSKEY, DS-запісы, RRSIG-подпісы і AD-сцяг у адказе.

Што такое DNSSEC?

DNSSEC (DNS Security Extensions) — набор пашырэнняў DNS, якія дадаюць крыптаграфічныя подпісы да DNS-запісаў. Гэта абараняе ад падробкі DNS-адказаў (атакі на кэш DNS і атакі "чалавек пасярэдзіне").

Кампаненты DNSSEC

• DNSKEY — публічны ключ зоны для праверкі подпісаў;
• DS — хэш DNSKEY у бацькоўскай зоне, фармуе ланцуг даверу;
• RRSIG — лічбавы подпіс кожнага набору DNS-запісаў;
• AD (Authenticated Data) — сцяг у DNS-адказе, які азначае паспяховую валідацыю.

Ланцуг даверу

DNSSEC выкарыстоўвае іерархічны ланцуг: ад каранёвай зоны (.) праз TLD (.com, .by) да DNS-зоны дамена. Калі любое звяно ланцуга адсутнічае, валідацыя DNSSEC не праходзіць.

Навошта патрэбны DNSSEC

• Абарона ад падмены DNS-адказаў і перанакіраванняў на фішынгавыя сайты;
• Павышэнне даверу да інфраструктуры дамена;
• Патрабаванне рэгулятараў для дзяржаўных і крытычных сэрвісаў.