DNSSEC Validator — проверка DNSSEC онлайн

Сервис проверяет наличие и корректность DNSSEC для домена через Google DNS-over-HTTPS (DoH) с флагом DO (DNSSEC OK). Проверяются DNSKEY, DS-записи, RRSIG-подписи и AD-флаг в ответе.

Что такое DNSSEC

DNSSEC (DNS Security Extensions) — набор расширений DNS, добавляющий криптографические подписи к DNS-записям. Это защищает от подделки DNS-ответов (DNS cache poisoning, атак типа «человек посередине»).

Компоненты DNSSEC

• DNSKEY — публичный ключ зоны для проверки подписей;
• DS — хеш DNSKEY в родительской зоне, формирует цепочку доверия;
• RRSIG — цифровая подпись каждого набора DNS-записей;
• AD (Authenticated Data) — флаг в DNS-ответе, означающий успешную валидацию.

Цепочка доверия

DNSSEC использует иерархическую цепочку: от корневой зоны (.) через TLD (.com, .ru) до DNS-зоны домена. Если любое звено цепи отсутствует, DNSSEC-валидация не проходит.

Зачем нужен DNSSEC

• Защита от подмены DNS-ответов и редиректов на фишинговые сайты;
• Повышение доверия к инфраструктуре домена;
• Требование ряда регуляторов для государственных и критических сервисов.