DNSSEC Check

Vấn đề thường gặp

DNS hijacking và cache poisoning là mối đe dọa thực sự khi kẻ tấn công có thể chuyển hướng traffic của bạn về server độc hại mà người dùng không hề hay biết. Nhiều quản trị viên hosting/VPS đã bật DNSSEC trên domain nhưng không xác nhận chain of trust có hoàn chỉnh hay không. Một DS record bị thiếu ở parent zone, một DNSKEY không khớp, hoặc RRSIG signature hết hạn đều khiến DNSSEC validation thất bại và domain của bạn sẽ không phân giải được trên các resolver có bật DNSSEC validation (như Google DNS, Cloudflare). Điều này gây downtime nghiêm trọng mà bạn không biết lỗi ở đâu.

DNSSEC Check giúp gì?

Tool này validate toàn bộ chain of trust từ root zone xuống TLD (.com, .net, .vn...) rồi đến domain của bạn, giống như DNSSEC validators thực tế làm. Bạn sẽ thấy từng zone validation step, DNSKEY algorithms (RSA/ECDSA), DS records ở parent, RRSIG signatures, và digest algorithms (SHA-256/SHA-384). Tool kiểm tra signature validity, key matching, và timestamp expiry. Kết quả cho biết status "Secure" (DNSSEC đúng hoàn toàn), "Bogus" (có lỗi validation), hay "Insecure" (không có DNSSEC). Response time của từng validation step cũng được hiển thị để debug performance.

Khi nào nên sử dụng?

• Sau khi bật DNSSEC trên domain - xác nhận chain of trust hoàn chỉnh
• Xoay vòng DNSKEY/ZSK - đảm bảo chữ ký vẫn hợp lệ và không làm hỏng validation
• Domain phân giải được nhưng không tải trên một số mạng - có thể DNSSEC bogus
• Trước khi di chuyển DNS providers - xác nhận nhà cung cấp mới có publish DS records đúng
• Kiểm tra bảo mật - xác nhận thuật toán DNSSEC đủ mạnh (RSA-2048+, ECDSA P-256+)
• Kiểm tra định kỳ - RRSIG có ngày hết hạn, cần xác nhận tự động gia hạn hoạt động