使用在线工具验证 DNSSEC 签名全攻略

一、DNSViz 验证方法（推荐）

• 打开浏览器，访问 https://dnsviz.net
• 在搜索框中输入要验证的域名（如example.com）
• 点击 "Go" 或 "Analyze" 按钮（首次分析需点击 Analyze）
• 等待几分钟完成分析（首次可能需要更长时间）

• 验证成功：
  • 显示绿色图标或 "Secure" 标签
  • 完整显示 DNSSEC 信任链，每级都有 DS 记录
  • 无红色错误框
• 验证失败：
  • 出现红色错误框，标注具体问题
  • 信任链中断，缺少某些级别的 DS 记录

• 点击生成的可视化图表，可展开查看每级 DNSKEY 和 RRSIG 记录
• 页面下方提供详细的文本分析报告，包括验证状态和错误详情

二、Verisign DNSSEC Debugger 验证方法

• 打开浏览器，访问 https://dnssec-analyzer.verisignlabs.com
• 在输入框中输入目标域名
• 点击 "Check" 或 "Lookup" 按钮
• 等待几秒钟获取结果

• 验证成功：
  • 显示 "Status: Secure" 或 "DNSSEC validation successful"
  • 列出完整的验证链，包括每级的 DNSKEY 和 RRSIG 记录
• 验证失败：
  • 显示 "Status: Insecure" 或具体错误信息
  • 明确指出验证失败的具体环节

• 点击 "Detail: more (+)" 可展开显示完整的验证过程和原始 DNS 记录
• 报告中会高亮显示问题点，并提供修复建议

三、其他在线验证工具

• 访问 https://www.kaspersky.com（或安全软件内置功能）
• 在安全工具中找到 "DNS Security" 或 "DNSSEC Check" 选项
• 输入域名，点击 "Check"
• 绿色图标表示安全，红色表示存在问题 Kaspersky

• 发送 POST 请求到: https://api.apivoid.com/v2/dnssec-status
• 请求体包含: {"host":"example.com","dns_type":"A"}
• 返回 JSON 结果，包含 "dnssec_enabled" 和 "dnssec_signed" 字段

• simplified.tools 的 DNSSEC 验证报告：提供简洁的状态显示和详细检查列表
• binsec.com的 DNSCheck：综合 DNS 检测工具，包含 DNSSEC 验证功能
• IntoDNS：提供全面的 DNS 健康检查，包括 DNSSEC 验证

四、验证结果判断标准

五、验证失败常见原因及解决方法

1. 域名未启用 DNSSEC
   • 联系域名注册商或 DNS 服务商，启用 DNSSEC
2. DNS 配置问题
   • 检查您的 DNS 服务器设置，推荐使用支持 DNSSEC 的公共 DNS (如 1.1.1.1, 8.8.8.8)
3. DNS 劫持或污染
   • 使用 VPN 或手机热点测试，如验证通过则说明原网络存在劫持
   • 修改路由器 DNS 设置为可信公共 DNS
4. DNSSEC 配置错误
   • 检查 DNSKEY 和 DS 记录是否正确配置
   • 确保签名未过期

六、验证流程总结（推荐）

1. 首选 DNSViz：因其可视化效果好，错误定位准确 plaintext 访问dnsviz.net → 输入域名 → 点击Analyze → 检查信任链完整性和错误信息
2. 验证失败时使用 Verisign Debugger：提供更详细的错误分析 plaintext 访问dnssec-analyzer.verisignlabs.com → 输入域名 → 点击Check → 查看详细错误报告
3. 如仍有疑问：
   • 检查本地 DNS 设置，确保使用支持 DNSSEC 的服务器
   • 用命令行工具 dig 验证：dig +dnssec example.com，检查是否有 "ad" 标志

七、安全建议

• 定期验证重要网站的 DNSSEC 状态，特别是金融、电商类网站
• 将家庭路由器 DNS 设置为支持 DNSSEC 的公共服务器（如 Cloudflare 的 1.1.1.1 或 Google 的 8.8.8.8）
• 在浏览器中安装 DNSSEC 验证插件（如 Chrome 的 "DNSSEC-Indicator"），自动显示网站 DNSSEC 状态