Skip to content
EN

Как проверить DNSSEC домена

Коротко:

DNSSEC (Domain Name System Security Extensions) защищает DNS от spoofing. Проверка — убедиться что домен публикует DNSKEY и DS-запись в TLD, и что цепочка подписей валидна. Инструменты: онлайн DNS-чекеры, dig +dnssec, delv, Verisign DNSSEC Analyzer.

Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.

Проверить DNS своего домена →

Пошаговая настройка

  1. Онлайн: DNS-чекер Enterno.io → введите домен → раздел DNSSEC покажет DNSKEY + DS + статус валидации
  2. Через dig: dig +dnssec +short example.com DNSKEY — покажет ключи; dig +dnssec example.com DS — DS записи
  3. Полная цепочка: dig +dnssec +trace example.com — трассировка от root
  4. delv (validation-focused): delv @8.8.8.8 example.com — "fully validated" = OK
  5. Внешний аналайзер: Verisign DNSSEC Analyzer — показывает все проблемы цепочки
  6. Browser extension: DNSSEC/TLSA Validator (Firefox, Chrome) — иконка в адресной строке

Рабочие примеры

СценарийКонфиг / запись
Домен с правильным DNSSECdig +dnssec example.com → ответ содержит RRSIG + "ad" flag (Authenticated Data)
Домен без DNSSECdig +dnssec → NO RRSIG в ответе. DS-запись отсутствует в TLD
Сломанный DNSSECdelv выдаёт "no valid signature" или "DNSKEY could not be retrieved"
Проверка через 1.1.1.1 (валидирующий)dig @1.1.1.1 example.com → SERVFAIL = подпись невалидна

Типичные ошибки

  • Стандартный resolver (routers, Windows) часто НЕ валидирует — используйте 1.1.1.1, 8.8.8.8, 9.9.9.9
  • dig +dnssec показывает записи, но не валидирует — нужен delv или +trace
  • Сломанный DNSSEC = SERVFAIL для 25-40% валидирующих клиентов — домен "недоступен"
  • DS-запись в TLD публикуется регистратором. Изменение key без обновления DS → все клиенты получают SERVFAIL

TL;DR: Как проверить DNSSEC домена

Чтобы проверить, включен ли DNSSEC для вашего домена, используйте команду dig +dnssec ваш-домен.com. Если DNSSEC настроен правильно, вы увидите записи DNSKEY и RRSIG. Также можно использовать онлайн-инструменты, такие как DNSSEC Analyzer, для более удобного анализа и проверки состояния DNSSEC вашего домена.

Понимание DNSSEC

DNSSEC (Domain Name System Security Extensions) — это набор расширений для протокола DNS, который обеспечивает защиту от атак, таких как спуфинг и кэширование подделок. Он использует криптографические подписи для проверки целостности и подлинности ответов DNS. В 2026 году важно понимать, как правильно настраивать и проверять DNSSEC, чтобы защитить свои домены и обеспечить их надежность.

Основные компоненты DNSSEC включают:

  • DNSKEY: публичный ключ, используемый для проверки подписи.
  • RRSIG: запись подписи, которая подтверждает, что данные DNS были подписаны с использованием соответствующего DNSKEY.
  • DS: запись, которая связывает DNSKEY с родительским доменом.

Настройка DNSSEC требует внесения изменений как в зоне вашего домена, так и в зоне родительского домена. Например, если у вас есть домен example.com, вы должны сначала создать DNSKEY и RRSIG для вашей зоны и затем добавить соответствующую DS-запись в зону .com.

Проверка DNSSEC с использованием команды dig

Для проверки DNSSEC с помощью команды dig, выполните следующие шаги:

  1. Откройте терминал.
  2. Введите команду: dig +dnssec ваш-домен.com.

Пример вывода может выглядеть так:

;  DiG 9.16.1-Ubuntu  +dnssec example.com

В этом выводе вы ищете записи типа DNSKEY и RRSIG. Например:

example.com. 3600 IN DNSKEY 257 3 8 AwEAAcY... (публичный ключ)

Если вы видите эти записи, значит, DNSSEC включен для вашего домена. Если записей нет, вам нужно будет настроить DNSSEC в панели управления вашего регистратора доменов.

Для более детальной проверки можно использовать онлайн-инструменты, такие как DNSSEC Debugger. Этот инструмент позволяет ввести ваш домен и получить полную информацию о состоянии DNSSEC, включая наличие ошибок и рекомендаций по исправлению.

A / AAAAIPv4 и IPv6 адреса хоста
MX-записиПочтовые серверы домена
TXT / SPFВерификация и защита от спуфинга
NS / SOAСерверы имён и зона ответственности

Почему нам доверяют

12
типов DNS-записей
SPF+DKIM
проверка почты
<1с
ответ DNS
3
региона проверки

Как это работает

1

Введите домен

2

Выберите тип записи

3

Получите DNS-ответ

Что такое DNS-записи?

DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.

Полный анализ

Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.

Мгновенный результат

Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.

Проверка безопасности

Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.

Экспорт и история

Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.

Кому это нужно

DevOps

проверка DNS после деплоя

Email-маркетологи

проверка SPF/DKIM/DMARC

SEO-специалисты

аудит DNS-конфигурации

Системные администраторы

контроль зоны DNS

Частые ошибки

Нет SPF-записиБез SPF письма могут попадать в спам. Добавьте v=spf1 TXT-запись.
Один NS-серверПри сбое единственного NS домен станет недоступен. Используйте минимум 2 NS.
Конфликт CNAME и других записейCNAME не может сосуществовать с MX или TXT на том же имени — это нарушение RFC.
Слишком высокий TTLПри TTL 86400 изменения DNS будут видны только через сутки. Перед миграцией снизьте TTL до 300.
Нет обратной записи PTRПочтовые серверы проверяют PTR. Без неё письма могут быть отклонены.

Лучшие практики

Настройте SPF + DKIM + DMARCТройка записей, защищающая вашу почту от спуфинга и повышающая доставляемость.
Используйте 2+ NS-серверовРазнесите NS по разным сетям для отказоустойчивости.
Понижайте TTL перед миграциейЗа 24-48 часов до смены IP установите TTL 300, чтобы переключение прошло быстро.
Проверяйте DNS после измененийПосле обновления записей убедитесь, что изменения применились и нет ошибок.
Добавьте CAA-записьCAA ограничивает, какие центры сертификации могут выпускать SSL для вашего домена.

Получите больше с бесплатным аккаунтом

История DNS-проверок, API-ключи и мониторинг изменений записей.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Что такое "ad" flag в dig?

Authenticated Data — ответ resolver'а. Если установлен, значит resolver валидировал подпись и она корректна.

Нужен ли DNSSEC если есть HTTPS?

Да. HTTPS защищает транзит, DNSSEC — разрешение имени. Без DNSSEC атакующий может подменить IP → вы попадёте на его HTTPS-сайт с его cert → нет защиты.

Почему мой домен DNSSEC проверяется на одних resolver'ах но не на других?

Не все resolver'ы валидируют. Unbound, BIND, PowerDNS — да. dnsmasq (домашние роутеры) — часто нет. Проверьте через 1.1.1.1.

Адопция DNSSEC в Рунете

Всего 4.1% доменов .ru. Подробнее — <a href="/s/research-dnssec-adoption-runet-2026">исследование Enterno.io</a>.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.