DNSSEC (Domain Name System Security Extensions) защищает DNS от spoofing. Проверка — убедиться что домен публикует DNSKEY и DS-запись в TLD, и что цепочка подписей валидна. Инструменты: онлайн DNS-чекеры, dig +dnssec, delv, Verisign DNSSEC Analyzer.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Бесплатный онлайн-инструмент — DNS Lookup: результат мгновенно, без регистрации.
dig +dnssec +short example.com DNSKEY — покажет ключи; dig +dnssec example.com DS — DS записиdig +dnssec +trace example.com — трассировка от rootdelv @8.8.8.8 example.com — "fully validated" = OK| Сценарий | Конфиг / запись |
|---|---|
| Домен с правильным DNSSEC | dig +dnssec example.com → ответ содержит RRSIG + "ad" flag (Authenticated Data) |
| Домен без DNSSEC | dig +dnssec → NO RRSIG в ответе. DS-запись отсутствует в TLD |
| Сломанный DNSSEC | delv выдаёт "no valid signature" или "DNSKEY could not be retrieved" |
| Проверка через 1.1.1.1 (валидирующий) | dig @1.1.1.1 example.com → SERVFAIL = подпись невалидна |
dig +dnssec показывает записи, но не валидирует — нужен delv или +traceЧтобы проверить, включен ли DNSSEC для вашего домена, используйте команду dig +dnssec ваш-домен.com. Если DNSSEC настроен правильно, вы увидите записи DNSKEY и RRSIG. Также можно использовать онлайн-инструменты, такие как DNSSEC Analyzer, для более удобного анализа и проверки состояния DNSSEC вашего домена.
DNSSEC (Domain Name System Security Extensions) — это набор расширений для протокола DNS, который обеспечивает защиту от атак, таких как спуфинг и кэширование подделок. Он использует криптографические подписи для проверки целостности и подлинности ответов DNS. В 2026 году важно понимать, как правильно настраивать и проверять DNSSEC, чтобы защитить свои домены и обеспечить их надежность.
Основные компоненты DNSSEC включают:
Настройка DNSSEC требует внесения изменений как в зоне вашего домена, так и в зоне родительского домена. Например, если у вас есть домен example.com, вы должны сначала создать DNSKEY и RRSIG для вашей зоны и затем добавить соответствующую DS-запись в зону .com.
Для проверки DNSSEC с помощью команды dig, выполните следующие шаги:
dig +dnssec ваш-домен.com.Пример вывода может выглядеть так:
; DiG 9.16.1-Ubuntu +dnssec example.comВ этом выводе вы ищете записи типа DNSKEY и RRSIG. Например:
example.com. 3600 IN DNSKEY 257 3 8 AwEAAcY... (публичный ключ)Если вы видите эти записи, значит, DNSSEC включен для вашего домена. Если записей нет, вам нужно будет настроить DNSSEC в панели управления вашего регистратора доменов.
Для более детальной проверки можно использовать онлайн-инструменты, такие как DNSSEC Debugger. Этот инструмент позволяет ввести ваш домен и получить полную информацию о состоянии DNSSEC, включая наличие ошибок и рекомендаций по исправлению.
DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.
Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.
Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.
Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.
Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.
проверка DNS после деплоя
проверка SPF/DKIM/DMARC
аудит DNS-конфигурации
контроль зоны DNS
v=spf1 TXT-запись.История DNS-проверок, API-ключи и мониторинг изменений записей.
Зарегистрироваться (FREE)Authenticated Data — ответ resolver'а. Если установлен, значит resolver валидировал подпись и она корректна.
Да. HTTPS защищает транзит, DNSSEC — разрешение имени. Без DNSSEC атакующий может подменить IP → вы попадёте на его HTTPS-сайт с его cert → нет защиты.
Не все resolver'ы валидируют. Unbound, BIND, PowerDNS — да. dnsmasq (домашние роутеры) — часто нет. Проверьте через 1.1.1.1.
Всего 4.1% доменов .ru. Подробнее — <a href="/s/research-dnssec-adoption-runet-2026">исследование Enterno.io</a>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.