回答:
dig [zone] dnskey
ゾーン内のRRsetを検証するために使用される必要なDNSKEY RRsetがゾーン内にあるかどうかが表示されます。
再帰サーバーがゾーンを検証しているかどうかを確認するには、
dig +dnssec [zone] dnskey
これにより、アウトバウンドクエリでDO(dnssec OK)ビットが設定され、データが検証され、関連するRRSIGも提供される場合、アップストリームリゾルバはリターンパケットでAD(認証済みデータ)ビットを設定します(質問が署名されています)、応答を検証できない場合でも。
「DNSSEC in 6 Minutes」プレゼンテーション(DNSSECのデバッグに関する多く)のスライドの最後のグループをご覧ください。このプレゼンテーションは、DNSSECの展開については少し長いですが(良いものについてはBIND 9.7を実際に見てください)、デバッグはほとんど変更されていません。
また、NANOG 50でBIND 9.7 DNSSECの展開について説明したプレゼンテーションもあります。
現在ブラウザに表示されているとは思わない。
あなたが望むことをするかもしれないFirefoxの拡張機能があります:
あるいは、これらのツールの1つでしょうか?
ターミナルで:dig tunnelix.com + dnssec
DNSSEC署名を指すRRSIG(RRset Signature)を見つける必要があります。
例1からの回答:tunnelix.com。300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com。Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
それ以外の場合は、無料のオンラインDNSSECチェッカーを使用してDNSSECを検証してください。 https://dnssec-debugger.verisignlabs.com
詳細については、役に立つかもしれないこれらのリンクを参照してください。