Сервис проверяет наличие и корректность DNSSEC для домена через Google DNS-over-HTTPS (DoH) с флагом DO (DNSSEC OK). Проверяются DNSKEY, DS-записи, RRSIG-подписи и AD-флаг в ответе.
DNSSEC (DNS Security Extensions) — набор расширений DNS, добавляющий криптографические подписи к DNS-записям. Это защищает от подделки DNS-ответов (DNS cache poisoning, атак типа «человек посередине»).
DNSSEC использует иерархическую цепочку: от корневой зоны (.) через TLD (.com, .ru) до DNS-зоны домена. Если любое звено цепи отсутствует, DNSSEC-валидация не проходит.
Смотрите также: DNS Lookup, DNS Propagation, Whois.
DNSSEC (DNS Security Extensions) — расширение протокола DNS, обеспечивающее криптографическую защиту DNS-ответов от подделки. Без DNSSEC злоумышленник может подменить DNS-ответ и перенаправить пользователей на поддельный сайт (DNS-спуфинг). DNSSEC позволяет проверить подлинность и целостность DNS-данных.
AD-флаг (Authenticated Data) в DNS-ответе означает, что резолвер проверил и подтвердил подлинность данных с помощью DNSSEC. Если AD-флаг установлен, это сигнал, что данные не были подделаны и цепочка доверия от корневой зоны до домена проверена.
DNSKEY — публичный ключ зоны для проверки подписей. DS (Delegation Signer) — хэш ключа дочерней зоны, хранится в родительской зоне и обеспечивает цепочку доверия. RRSIG — цифровая подпись набора DNS-записей. Наличие всех трёх элементов означает полноценную настройку DNSSEC.