验证域名 DNSSEC 信任链:DS/DNSKEY/RRSIG、签名算法与到期、信任状态分级
• 域名:输入不含 https:// 的裸域名(如 cloudflare.com)
• 通过 Cloudflare / Google 校验解析器验证 DNSSEC 信任链
• 未启用 DNSSEC 属正常状态,bogus 表示签名验证失败需排查
DNSSEC(DNS Security Extensions)检查验证域名的 DNSSEC 信任链是否完整,包括:DS 记录(委派签名记录)、DNSKEY(区域签名密钥)、RRSIG(资源记录签名)三者是否一致,以及签名算法、密钥位数和签名到期时间是否符合安全要求。DNSSEC 通过数字签名防止 DNS 数据在传输中被篡改。
它常用于:域名启用 DNSSEC 后验证信任链是否正确建立、排查 DNSSEC 验证失败导致域名无法解析的问题、密钥轮换(KSK Rollover)后确认新密钥已在父区域的 DS 记录中更新、检查 DNSSEC 签名是否临近到期。
常见原因:注册商处的 DS 记录与权威 DNS 服务器的 DNSKEY 不匹配(密钥轮换后未同步更新)、签名已过期、或区域传送后签名失效。本工具会逐项显示哪个验证步骤失败,帮助定位问题。
DS(Delegation Signer)记录存储在父区域(如 .com 区域),包含子域名 DNSKEY 的哈希值,用于建立从根区域到你的域名的信任链。它必须在域名注册商处配置,使父区域能为子域名的签名做背书。
IANA 推荐算法 8(RSA/SHA-256)和 13(ECDSA/P-256/SHA-256)。算法 5(RSA/SHA-1)和 7(RSA/SHA-1/NSEC3)已过时,安全性较低,不建议使用。
会有轻微影响。DNSSEC 响应包含签名数据,体积更大,且验证过程需要额外的 DNS 查询(获取 DS 和 DNSKEY)。但对于终端用户来说,影响通常在几毫秒内,支持 DNSSEC 的递归解析器会缓存验证结果。