¿Cómo verificar si DNSSEC está activado en mi dominio?

Introduce tu dominio en la herramienta de arriba. Si el resultado muestra 'DNSSEC no está activado', significa que no hay ningún registro DS publicado en el registro padre. Contacta con tu registrar o proveedor DNS para activar DNSSEC.

¿Qué es un DS huérfano?

Un DS huérfano es un registro DS publicado en la zona padre que no corresponde a ninguna DNSKEY en la zona hija. Esto suele ocurrir durante una rotación de claves mal finalizada. No es bloqueante, pero es una señal de configuración incompleta.

¿Qué algoritmos DNSSEC se consideran débiles?

Según la RFC 8624, los algoritmos RSAMD5 (algo 1), DSA (algo 3), DSA-NSEC3-SHA1 (algo 6) son MUST NOT. RSASHA1-NSEC3-SHA1 (algo 7) es NOT RECOMMENDED. Los algoritmos recomendados son RSASHA256 (8), ECDSAP256SHA256 (13) y ED25519 (15).

¿Por qué el digest SHA-1 está marcado como obsoleto?

SHA-1 se considera criptográficamente débil desde hace varios años. Para los registros DS, se recomienda usar SHA-256 (tipo 2) o SHA-384 (tipo 4). Si tu DS usa SHA-1, añade un DS con SHA-256 en paralelo.

¿Qué significa 'RRSIG en DNSKEY RRSet inválido'?

Significa que la firma criptográfica del conjunto de claves DNSKEY de tu zona no es válida. Las causas posibles: clave privada comprometida, error de generación o desincronización entre los servidores autoritativos.

¿DNSSEC ralentiza la resolución DNS?

DNSSEC añade una ligera sobrecarga (firmas a verificar, respuestas más voluminosas) pero el impacto es insignificante con los resolvedores modernos. La seguridad que aporta compensa ampliamente este coste.

DNSSEC Checker - Cadena de Confianza Online

¿Por qué verificar DNSSEC?

DNSSEC (DNS Security Extensions) añade una capa de verificación criptográfica al DNS. Sin DNSSEC, un atacante puede falsificar las respuestas DNS para redirigir el tráfico hacia servidores maliciosos (cache poisoning).

Tres razones para verificar tu DNSSEC:

Seguridad: Asegurarte de que la cadena de confianza está intacta y de que los visitantes llegan realmente a tus servidores
Conformidad: Cada vez más organizaciones exigen DNSSEC para los dominios sensibles
Detección de problemas: Identificar DS huérfanos, algoritmos débiles o firmas expiradas antes de que causen interrupciones

Cómo usar el DNSSEC Checker en 3 pasos

Paso 1: Introduce tu dominio

Escribe el nombre de dominio a verificar (por ejemplo cloudflare.com o nic.fr). La herramienta acepta cualquier dominio, esté firmado con DNSSEC o no.

Paso 2: Analiza el informe zona por zona

La herramienta recorre la cadena de confianza desde la raíz DNS:

Raíz (.): Verificación de los trust anchors
TLD (ej: .com): Verificación de los DS y DNSKEY del TLD
Tu dominio: Verificación de los DS, DNSKEY y RRSIG

Para cada zona, puedes ver los registros DS, DNSKEY y firmas RRSIG con su estado de validación.

Paso 3: Corrige los problemas detectados

El informe identifica claramente:

Los errores (cadena rota, firmas inválidas)
Las advertencias (DS huérfanos, algoritmos débiles)
Las informaciones (CSK detectada, NS fuera de bailiwick)

¿Qué es la cadena de confianza DNSSEC?

La cadena de confianza DNSSEC funciona como una serie de verificaciones en cascada:

Raíz (.)
  |-- DS del TLD --> verifica la DNSKEY del TLD
  |-- La ZSK del TLD firma el DS de tu dominio
        |-- DS de tu dominio --> verifica tu DNSKEY (KSK)
        |-- Tu KSK firma el DNSKEY RRSet
        |-- Tu ZSK firma los datos (A, MX, SOA, NS)

Cada eslabón depende del anterior. Si uno solo se rompe, toda la validación falla.

¿Qué verifica exactamente la herramienta?

Elemento	Descripción	Resultado
DS Records	Registros DS publicados en el padre	Coincidencia con DNSKEY, huérfanos, digest débil
DNSKEY Records	Claves públicas de la zona (KSK/ZSK)	Presencia, algoritmo, asociación DS
RRSIG en DS	Firma del DS RRSet por la ZSK del padre	Validez criptográfica
RRSIG en DNSKEY	Firma del DNSKEY RRSet por la KSK	Validez criptográfica
Algoritmos	Tipo de algoritmo de firma	Detección de algoritmos obsoletos (RFC 8624)
Digests DS	Tipo de hash del DS	Detección de SHA-1 obsoleto

Diagnosticos comunes y soluciones

DS huérfano (DNSSEC_DS_ORPHAN)

Síntoma: Un registro DS está publicado en el padre pero no existe ninguna DNSKEY correspondiente en tu zona.

Causa probable: Rotación de claves incompleta o clave antigua eliminada antes del DS.

Acción: Elimina el DS huérfano en tu registrar o añade la DNSKEY correspondiente en tu zona.

Herramienta	Utilidad
DNS Domain Check	Auditoría completa de la configuración DNS incluyendo una verificación DNSSEC básica
DNS Lookup	Consultar manualmente los registros DS, DNSKEY o RRSIG
DNS Propagation Test	Verificar la propagación de los cambios DNSSEC en todo el mundo

Recursos utiles

RFC 4033 - DNS Security Introduction: Introducción a las extensiones DNSSEC
RFC 8624 - Algorithm Implementation Requirements: Requisitos sobre los algoritmos DNSSEC
Verisign DNSSEC Debugger: Herramienta de referencia para el debug DNSSEC
DNSViz: Visualización avanzada de la cadena DNSSEC

DNSSEC Checker

Valida la cadena de confianza DNSSEC de tu dominio

Cadena de confianza completa

Detección de algoritmos débiles

DS huérfanos e inconsistencias

Verificación de firmas RRSIG

Diagnósticos detallados