ZenovayTools

Verificador de DNSSEC

Verifique se um domínio tem DNSSEC ativado e validado corretamente. Verifica a flag AD (Authenticated Data), registros DNSKEY e DS e algoritmo usado. Detecta cadeias DNSSEC quebradas ou ausentes.

Como Usar Verificador de DNSSEC

  1. 1Digite seu nome de domínio (por exemplo, example.com).
  2. 2A ferramenta consulta resolutores DNS com validação DNSSEC ativada.
  3. 3Registros DNSKEY e DS são obtidos e a flag AD (Authenticated Data) é verificada.
  4. 4Uma classificação A-F reflete sua configuração DNSSEC — A significa totalmente validado, F significa ausente ou quebrado.
ZenovayAnalytics

Analytics sem nenhum banner de cookies.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é DNSSEC e por que é importante?
DNSSEC (DNS Security Extensions) adiciona assinaturas criptográficas aos registros DNS, evitando que atacantes falsifiquem respostas DNS. Sem DNSSEC, um atacante no caminho da rede (ou um resolvedor DNS comprometido) pode redirecionar seu domínio para um servidor malicioso — um ataque de envenenamento ou spoofing de DNS.
O que é o flag AD e o que ele significa?
AD significa "Authenticated Data". Quando um resolvedor com validação DNSSEC verifica com sucesso todas as assinaturas DNSSEC na cadeia de confiança para uma resposta DNS, ele define o bit AD na resposta. Um resultado AD=true significa que um resolvedor de validação verificou as assinaturas DNSSEC.
Qual é a diferença entre registros DNSKEY e DS?
Registros DNSKEY residem na sua zona e contêm as chaves públicas usadas para assinar seus registros DNS. Existem dois tipos: KSK (Key Signing Key, flags=257) que assina outros registros DNSKEY, e ZSK (Zone Signing Key, flags=256) que assina seus registros DNS reais. Registros DS (Delegation Signer) residem na zona pai e contêm um hash da KSK do filho, estabelecendo a cadeia de confiança.
Meu domínio tem DNSKEY, mas sem registros DS — o DNSSEC está funcionando?
Não. Se os registros DNSKEY estiverem publicados, mas os registros DS não estiverem registrados no seu registrar, a cadeia de confiança DNSSEC está quebrada. Os resolvedores de validação tratarão seu domínio como inseguro (não inválido, mas não validado). Para completar o DNSSEC: (1) Gere registros DNSKEY no seu servidor DNS autoritativo. (2) Registre o registro DS no seu registrar de domínio.
Qual algoritmo DNSSEC devo usar?
Algoritmos recomendados em ordem de preferência: Ed25519 (algoritmo 15) — mais rápido, chaves menores, mais moderno; ECDSA P-256/SHA-256 (algoritmo 13) — amplamente suportado, boa segurança; RSA/SHA-256 (algoritmo 8) — amplamente compatível, mas chaves maiores. Evite RSA/MD5 (1), RSA/SHA-1 (5) e algoritmos baseados em curva elíptica mais antigos.