Respuestas:
dig [zone] dnskey
Eso le mostrará si hay el DNSKEY RRset requerido en la zona que se utilizará para validar los RRsets en la zona.
Si desea ver si su servidor recursivo está validando la zona,
dig +dnssec [zone] dnskey
Esto establecerá el bit DO (dnssec OK) en la consulta saliente y hará que el solucionador ascendente establezca el bit AD (datos autenticados) en el paquete de retorno si los datos están validados y también le proporcionará los RRSIG relacionados (si la zona en la pregunta está firmada) incluso si no puede validar la respuesta.
Es posible que desee echar un vistazo al último grupo de diapositivas en mi presentación "DNSSEC en 6 minutos" (muchas sobre la depuración de DNSSEC). Esa presentación es un poco larga sobre la implementación de DNSSEC (realmente debería mirar BIND 9.7 para las cosas buenas), pero la depuración ha cambiado poco.
También hay una presentación que hice en NANOG 50 sobre la implementación de BIND 9.7 DNSSEC .
No creo que se muestre actualmente en el navegador.
Hay una extensión para Firefox que puede hacer lo que quieras:
alternativamente, tal vez una de estas herramientas?
En la terminal: dig tunnelix.com + dnssec
Necesita encontrar el RRSIG (Firma RRset) que apunta a una firma DNSSEC.
Respuesta del Ejemplo 1: tunnelix.com. 300 IN RRSIG A 13 2300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
De lo contrario, valide su DNSSEC a través del verificador DNSSEC gratuito en línea. https://dnssec-debugger.verisignlabs.com
Para obtener más información, consulte estos enlaces que pueden ser útiles: