Testare un dominio con DNSSEC

Dopo aver visto come Aggiungere i record DNSSEC in una zona in BIND andiamo a testare come viene visto il nostro dominio.

Esistono diversi tool per testare la risoluzioni dei nomi a dominio con DNSSEC tra cui dig con l’opzione +dnssec. Tra quelli disponibili online come già accennato nell’articolo Configurare il DNSServer BIND per supportare DNSSec segnaliamo http://dnssec-debugger.verisignlabs.com.

Controllate voi stessi http://dnssec-debugger.verisignlabs.com/lucafrosini.eu
Analyzing DNSSEC problems for lucafrosini.eu

Esso fornisce delle informazioni dettagliate (fate click su Detail +more in alto nella pagina) sui record e sulla validità della zona. Tale risolutore utilizza puramente la struttura gerarchica dei nomi a dominio. Se uno dei padri non è firmato, la catena è rotta e non puoi usare la chiave della root zone come trusted anchor nella configurazione di BIND.
Per questo motivo è stato inventato DNSSEC look-aside validation (DLV). In breve, i DLV funzionano coma repository alternativo per le trusted keys. È possibile inviare ad essi le zone keys se non c’è un fully signed path per la tua zona.
Il più famoso DLV repository è dlv.isc.org (ISC è la società che ha creato BIND). Registratevi e seguite la procedura per farvi inserire i record nel loro DNS.

Lo stesso tool di verisign suggerisce di effettuare un test anche con http://dnsviz.net/. Esso oltre ad utilizzare il repository DLV fornisce una visione grafica delle zone e dei loro record. Guardandola risulta chiaro come il DNSSEC non sia nient’altro che una PKI.

Ecco qua il risultato per lucafrosini.eu http://dnsviz.net/d/lucafrosini.eu/dnssec/
DNSViz - A DNS visualization tool lucafrosini.eu

Nel tool avete anche la possibilità di inserire chiavi sicure per il check, similmente a quanto farebbe un vostro resolver configurato per accettare chiavi addizionali.

One thought on “Testare un dominio con DNSSEC

Comments are closed.