ZenovayTools

DNSSEC チェッカー

ドメインがDNSSECを有効にし、適切に検証されているかをチェックします。AD(認証データ)フラグ、DNSKEYとDSレコード、および使用されているアルゴリズムを検証します。破損または不足しているDNSSECチェーンを検出します。

DNSSEC チェッカーの使い方

  1. 1ドメイン名を入力します(例:example.com)。
  2. 2ツールはDNSSEC検証を有効にしてDNSリゾルバをクエリします。
  3. 3DNSKEYおよびDSレコードが取得され、AD(認証データ)フラグがチェックされます。
  4. 4A-FのグレードはあなたのDNSSEC設定を反映します — Aは完全に検証済み、Fは不足または破損を意味します。
Zenovayアナリティクス

クッキーバナーのいらないアナリティクス。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

DNSSECとは何で、なぜ重要ですか?
DNSSEC(DNS Security Extensions)はDNSレコードに暗号署名を追加し、攻撃者がDNS応答を偽造することを防止します。DNSSECがなければ、ネットワークパス上の攻撃者(または侵害されたDNSリゾルバー)はあなたのドメインを悪意あるサーバーにリダイレクトできます。これはDNSスプーフィングまたはキャッシュポイズニング攻撃です。DNSSECはICANNルートゾーンからあなたのドメインまでの信頼チェーンを作成し、偽造されたDNS応答を検出可能で拒否可能にします。
ADフラグとは何で、何を意味しますか?
ADは「Authenticated Data」を表します。DNSSEC検証リゾルバー(Cloudflareおよび8.8.8.8など)がDNS応答の信頼チェーン内のすべてのDNSSEC署名を正常に検証すると、応答のADビットを設定します。AD=trueの結果は、検証リゾルバーがアンサーが本物であることを確認したことを意味します。DNSKEYレコードが存在するAD=falseは、署名が存在しますが検証に失敗している可能性があることを意味します。
DNSKEYおよびDSレコードの違いは何ですか?
DNSKEYレコードはあなたのゾーンに存在し、DNSレコードに署名するために使用される公開キーを含みます。2つのタイプがあります:KSK(Key Signing Key、flags=257)は他のDNSKEYレコードに署名し、ZSK(Zone Signing Key、flags=256)は実際のDNSレコードに署名します。DS(Delegation Signer)レコードは親ゾーン(あなたのレジストラー)に存在し、あなたのKSKのハッシュを含みます。これらは親ゾーンと子ゾーンを信頼チェーンで接続するリンクを形成します。完全なDNSSEC検証には両方が必要です。
私のドメインはDNSKEYを持っていますがDSレコードがありません。DNSSECは機能していますか?
いいえ。DNSKEYレコードが公開されているがDSレコードがレジストラーに登録されていない場合、DNSSEC信頼チェーンは破壊されています。検証リゾルバーはあなたのドメインを安全ではない(偽造ではなく、未検証)として扱います。DNSSECを完了するには:(1)権限あるDNSプロバイダーでDNSKEYレコードを生成、(2)DSレコードハッシュを取得、(3)制御パネルを通じてDSレコードをドメインレジストラーに送信します。親ゾーンにDSレコードがなければ、DNSSECは実際には有効ではありません。
どのDNSSECアルゴリズムを使用する必要がありますか?
推奨されるアルゴリズムを優先順にあげます:Ed25519(アルゴリズム15)。最速、最小キー、最新。ECDSA P-256/SHA-256(アルゴリズム13)。広くサポート、良好なセキュリティ。RSA/SHA-256(アルゴリズム8)。広く互換性がありますが、キーが大きくなります。RSA/MD5(1)、RSA/SHA-1(5)、およびDSAアルゴリズム(3、6、7)を避けてください。これらは非推奨または暗号的に弱いです。Ed25519は新しい展開に最適な選択であり、すべての主要DNSプロバイダーでサポートされています。