Verificador DNSSEC
Verifica si un dominio tiene DNSSEC habilitado y validado correctamente. Verifica la bandera AD (Authenticated Data), registros DNSKEY y DS, y el algoritmo utilizado. Detecta cadenas DNSSEC rotas o faltantes.
Cómo usar Verificador DNSSEC
- 1Ingresa el nombre de tu dominio (ej. example.com).
- 2La herramienta consulta resolutores DNS con validación DNSSEC habilitada.
- 3Se obtienen los registros DNSKEY y DS y se verifica la bandera AD (Authenticated Data).
- 4Una calificación A-F refleja tu configuración DNSSEC — A significa completamente validado, F significa faltante o roto.
ZenovayAnalytics
Analytics sin ningún aviso de cookies.
- Seguimiento de visitantes en tiempo real
- Privacidad primero, sin aviso de cookies
- Configurado en dos minutos
Herramientas relacionadas
Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.Preguntas frecuentes
¿Qué es DNSSEC y por qué es importante?▾
DNSSEC (DNS Security Extensions) añade firmas criptográficas a los registros DNS, evitando que los atacantes falsifiquen respuestas DNS. Sin DNSSEC, un atacante en la ruta de red (o un resolvedor DNS comprometido) puede redirigir su dominio a un servidor malicioso: un ataque de envenenamiento de caché o suplantación DNS. DNSSEC crea una cadena de confianza desde la zona raíz de ICANN hasta su dominio, haciendo que las respuestas DNS falsificadas sean detectables y rechazables.
¿Qué es el indicador AD y qué significa?▾
AD significa «Authenticated Data» (datos autenticados). Cuando un resolvedor con validación DNSSEC (como Cloudflare 1.1.1.1 o Google 8.8.8.8) verifica correctamente todas las firmas DNSSEC en la cadena de confianza de una respuesta DNS, establece el bit AD en la respuesta. Un resultado AD=true significa que un resolvedor de validación confirmó que la respuesta es auténtica.
¿Cuál es la diferencia entre registros DNSKEY y DS?▾
Los registros DNSKEY viven en su zona y contienen las claves públicas utilizadas para firmar sus registros DNS. Hay dos tipos: KSK (Key Signing Key, flags=257), que firma otros registros DNSKEY, y ZSK (Zone Signing Key, flags=256), que firma sus registros DNS reales. Los registros DS (Delegation Signer) viven en la zona padre (su registrador) y contienen un hash de su KSK; forman el enlace que conecta las zonas padre e hija en la cadena de confianza. Ambos son necesarios para la validación completa de DNSSEC.
Mi dominio tiene DNSKEY pero no registros DS. ¿Está funcionando DNSSEC?▾
No. Si se publican registros DNSKEY pero los registros DS no están registrados en su registrador, la cadena de confianza DNSSEC está rota. Los resolvedores de validación tratarán su dominio como no seguro (no como bogus, sino como no validado). Para completar DNSSEC: (1) genere registros DNSKEY en su proveedor DNS autoritativo, (2) obtenga el hash del registro DS, (3) envíe el registro DS a su registrador de dominio a través de su panel de control.
¿Qué algoritmo DNSSEC debo usar?▾
Algoritmos recomendados por orden de preferencia: Ed25519 (algoritmo 15) — el más rápido, claves más pequeñas, el más moderno; ECDSA P-256/SHA-256 (algoritmo 13) — ampliamente admitido, buena seguridad; RSA/SHA-256 (algoritmo 8) — ampliamente compatible pero con claves más grandes. Evite RSA/MD5 (1), RSA/SHA-1 (5) y algoritmos DSA (3, 6, 7): están obsoletos o son criptográficamente débiles. Ed25519 es la mejor opción para nuevas implementaciones.