DNSSEC Checker
DNSSEC einer Domain prüfen: DNSKEY, DS-Records, Chain-Validierung und Algorithmen-Audit.
Methodik & Funktionsweise
Was wird geprueft?
Prüft, ob eine Domain DNSSEC-signiert ist und ob die Chain bis zum Root validiert werden kann.
Wie funktioniert es?
Über Google DoH (https://dns.google/resolve) werden parallel DNSKEY-, DS- und SOA-Records angefragt. AD-Bit auf der SOA-Response zeigt: validierender Resolver konnte die Chain bis Root verifizieren. DNSKEYs werden auf Algorithmen-Stärke geprüft (deprecated: SHA-1, RSA/MD5; empfohlen: ECDSA P-256 oder Ed25519), DS-Records auf Digest-Typ (SHA-256 oder SHA-384).
Beispiel-Ergebnis
kit.de → signed, validated (AD=1), DNSKEYs: KSK ECDSA P-256, ZSK ECDSA P-256, DS am Parent mit SHA-256 (0 Issues)
Hinweise
DNSSEC ist der Trust-Anchor für MTA-STS und DANE — ohne DNSSEC sind diese Schichten gegen DNS-Spoofing offen.