Ir para o conteúdo principal
Entrar
CaptainDNS

Diagnóstico de email

Ferramentas para verificar e validar a configuração de autenticação de email.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidade

Auditoria de entregabilidadeAnalisador de cabeçalhosTestador de emailVerificador blacklist IPVerificador blacklist domínioSimplificador SPFPesquisa de seletores DKIMVerificador SMTP/MX

Proteger e Monitorar

Geradores de registros, hosting de políticas e monitoramento contínuo.

Rede e Web

Ferramentas de rede, análise de páginas web e certificados.

Ferramentas IP

O meu endereço IP

Detete os seus endereços IPv4/IPv6 e a respetiva geolocalização.

Pesquisa reversa

Resolva um registo PTR e valide a consistência DNS.

WhoIs de IP

Identifique o proprietário de um bloco de IP e respetivos contactos.

Máscara IPv4

Calcule a rede, o broadcast e os hosts utilizáveis de qualquer bloco IPv4.

Calculadora de sub-redes IPv6

Calcule sub-redes IPv6, faixas de endereços e entradas DNS reverso.

Certificados e BIMI

Inspector de logótipo BIMI

Analise a URL de um logótipo BIMI, o formato, os metadados e a renderização.

BIMI SVG Converter

Converta qualquer SVG para o formato Tiny-PS compatível BIMI em segundos.

Analisador de CSR

Inspecione um CSR, extraia detalhes do assunto, impressões digitais e SANs pedidos.

Inspetor VMC

Examine um Verified Mark Certificate: autoridade emissora, validade e SAN antes de publicar o BIMI.

Web

Verificador de peso de página

Verifique se sua página excede o limite de 2 MB do Googlebot.

Verificador de URL de phishing

Verifique se uma URL é sinalizada como phishing ou malware por 4 fontes.

Redirect Checker

Analise cadeias de redirecionamentos HTTP

Redirecionamento de domínio

Redirecione seus domínios com HTTPS automático e redirecionamentos 301/302.

Ferramentas de desenvolvimento

Utilitários de texto e ferramentas para o dia a dia do desenvolvimento.

Texto

Transforme e meça o seu conteúdo em segundos.

Conversor de caixa de texto

Converta instantaneamente qualquer bloco de texto para maiúsculas ou minúsculas.

Gerador de slug

Transforme qualquer título em um slug otimizado para SEO em segundos.

Contador de palavras e caracteres

Meça o tamanho de qualquer texto com contagens imediatas de palavras e caracteres.

Gerador de senhas

Gere senhas aleatórias fortes e frases-senha fáceis de lembrar.

Desenvolvedor

Codificação, hashing, regex e formatação para o dia a dia dev.

Codificador / decodificador Base64

Codifique ou decodifique conteúdo em Base64 diretamente no navegador.

Gerador de hash

Calcule os hashes MD5, SHA-1, SHA-256 e SHA-512 de qualquer texto.

Codificador / decodificador URL

Codifique ou decodifique texto com percent-encoding (RFC 3986) diretamente no navegador.

Testador de regex

Teste uma expressão regular contra um texto e visualize as correspondências.

Formatador JSON / YAML

Formate, valide e converta JSON e YAML em um clique.

DNSSEC Checker

Teste e valide a chain of trust DNSSEC do seu domínio

Mais de 30% dos resolvedores mundiais validam DNSSEC. Um único elo quebrado na cadeia de confiança faz seu domínio desaparecer para milhões de usuários. Google Public DNS, Cloudflare 1.1.1.1 e Quad9 retornam SERVFAIL. Este DNSSEC checker inspeciona cada elo da raiz DNS até sua zona e detecta problemas antes que causem indisponibilidade.

Modo

Cadeia de confiança completa

Verificação zona por zona desde a raiz (.) até seu domínio, validando cada delegação DS/DNSKEY.

Detecção de algoritmos fracos

Identifica algoritmos obsoletos (RSAMD5, DSA) e digests depreciados (SHA-1) conforme a RFC 8624.

DS órfãos e inconsistências

Detecta registros DS publicados no parent sem DNSKEY correspondente na zona filha.

Modo completo multi-servidor

Verifica a consistência DNSKEY entre todos os servidores autoritativos e valida as assinaturas RRSIG em SOA, NS, A e MX.

Diagnósticos detalhados

Relatório com erros, avisos e informações classificados por severidade. Badges de expiração RRSIG em tempo real.

Por que verificar DNSSEC?

DNSSEC (DNS Security Extensions) adiciona assinaturas criptográficas às respostas DNS. Sem essas assinaturas, atacantes podem falsificar respostas e sequestrar tráfego. Esse ataque é chamado DNS cache poisoning, e é indetectável pelo usuário final.

Um único registro DS mal configurado quebra toda a cadeia. Quando isso acontece, os resolvedores validantes retornam SERVFAIL. Seu site parece normal na sua rede, mas milhões de usuários não veem nada. Nenhum monitor HTTP, nenhum ping, nenhum uptime check detectará este problema. Somente um teste específico de DNSSEC revela a falha.

Um DS órfão de um key rollover mal feito. Uma assinatura que expirou durante a noite. Essas falhas silenciosas persistem por dias até que alguém execute uma verificação.

Quatro razões para verificar seu DNSSEC agora:

  • Segurança: Somente uma cadeia de confiança intacta garante que visitantes alcancem seus servidores, não uma cópia do atacante
  • Disponibilidade: Uma cadeia quebrada bloqueia mais de 30% das consultas DNS globais. Google, Cloudflare e Quad9 rejeitam a resposta.
  • Conformidade: Instituições financeiras, órgãos governamentais e organizações de saúde já exigem DNSSEC para todos os domínios
  • Detecção proativa: Identifique DS órfãos, algoritmos depreciados e assinaturas RRSIG expirando antes que provoquem uma interrupção

Como usar o DNSSEC Checker em 3 passos

Passo 1: Insira seu domínio

Digite o domínio que deseja verificar: cloudflare.com, nic.fr ou qualquer outro. A ferramenta aceita domínios assinados e não assinados. Se DNSSEC não estiver ativo, você saberá imediatamente.

Passo 2: Escolha o modo de análise

  • Modo Simples (padrão): Valida a cadeia de confiança completa consultando um servidor autoritativo por zona. Resultado em 1 a 3 segundos.
  • Modo Completo: Tudo do modo Simples, mais consistência DNSKEY entre todos os servidores autoritativos e validação RRSIG nos dados (SOA, NS, A, MX). Resultado em 5 a 10 segundos.

Use o modo Completo após um key rollover, uma migração de provedor ou para auditoria de segurança. Na dúvida, comece pelo modo Simples.

Passo 3: Analise o relatório e corrija

O relatório classifica cada resultado por severidade, zona por zona:

  • Erros: Cadeia quebrada, assinaturas inválidas, inconsistência entre servidores. Bloqueiam a resolução.
  • Avisos: DS órfãos, algoritmos fracos, RRSIG expirando em breve. Requerem atenção.
  • Informações: CSK detectada, NS fora de bailiwick, quantidade de DS no parent. Útil saber, sem ação necessária.

O que é a cadeia de confiança (chain of trust) DNSSEC?

A cadeia de confiança DNSSEC funciona como um revezamento de verificações criptográficas em cascata. Cada zona atesta a próxima. Começa na raiz DNS e termina no seu domínio:

Raiz (.)
  |-- DS do TLD --> verifica a DNSKEY do TLD (KSK)
  |-- A ZSK do TLD assina o DS do seu domínio
        |-- DS do seu domínio --> verifica sua DNSKEY (KSK)
        |-- Sua KSK assina o DNSKEY RRSet
        |-- Sua ZSK assina os dados (A, MX, SOA, NS)

Os registros-chave:

RegistroFunçãoOnde é publicado
DS (Delegation Signer)Hash de uma DNSKEY filha, cria o vínculo entre zonasZona parent
DNSKEYChave pública da zona (KSK = flags 257, ZSK = flags 256)Zona filha
RRSIGAssinatura criptográfica de um conjunto de registrosZona filha
NSEC/NSEC3Prova autenticada de inexistência de um registroZona filha

Cada elo depende do anterior. Um único elo quebrado e toda a cadeia desmorona. Os resolvedores retornam SERVFAIL para todo o domínio, não apenas para a zona quebrada.

O que exatamente esta ferramenta verifica?

Modo Simples

ElementoDescriçãoResultado
DS RecordsRegistros DS publicados no parentCorrespondência com DNSKEY, órfãos, digest fraco
DNSKEY RecordsChaves públicas da zona (KSK/ZSK)Presença, algoritmo, associação DS
RRSIG no DSAssinatura do DS RRSet pela ZSK do parentValidade criptográfica + janela temporal
RRSIG no DNSKEYAssinatura do DNSKEY RRSet pela KSKValidade criptográfica + janela temporal
AlgoritmosTipo de algoritmo de assinaturaDetecção de algoritmos depreciados (RFC 8624)
Digests DSTipo de hash do DSDetecção de SHA-1 depreciado

Modo Completo (adicional)

ElementoDescriçãoResultado
Consistência DNSKEYCompara as DNSKEY em todos os servidores autoritativosDetecção de inconsistências entre servidores
RRSIG no SOAAssinatura do registro SOAValidade + prazo até expiração
RRSIG no NSAssinatura dos registros NSValidade + prazo até expiração
RRSIG no A/MXAssinaturas dos registros A e MXValidade + prazo até expiração
Expiração RRSIGPrazo até expiração de cada assinaturaAlerta se expiração em menos de 7 dias

Diagnósticos comuns e soluções

DS órfão (DNSSEC_DS_ORPHAN)

Sintoma: DS publicado no parent sem DNSKEY correspondente na sua zona.

Causa provável: Key rollover incompleto. A chave antiga foi removida antes da atualização do DS no registrador.

Ação: Remova o DS órfão pelo painel do registrador. Ou re-adicione a DNSKEY correspondente na zona. Execute o checker para confirmar a cadeia.

Algoritmo fraco (DNSSEC_WEAK_ALGO)

Sintoma: Sua zona utiliza um algoritmo de assinatura considerado inseguro pela RFC 8624.

Algoritmos afetados: RSAMD5 (1), DSA (3), DSA-NSEC3-SHA1 (6) são proibidos. RSASHA1-NSEC3-SHA1 (7) é desaconselhado.

Ação: Migre para ECDSAP256SHA256 (13) ou ED25519 (15). Ambos são mais seguros e produzem assinaturas 4x menores que RSA-2048.

Digest SHA-1 (DNSSEC_WEAK_DIGEST)

Sintoma: Seu DS usa SHA-1 (tipo 1) como tipo de digest.

Ação: Adicione um DS com SHA-256 (tipo 2) junto ao SHA-1 existente. Aguarde 48 horas de propagação. Só então remova o DS SHA-1. Remover antes quebra a cadeia.

SERVFAIL após ativação de DNSSEC

Sintoma: Seu domínio retorna SERVFAIL para os resolvedores validantes após ativar DNSSEC.

Causas frequentes:

  • DS no registrador não corresponde à DNSKEY da sua zona
  • Assinaturas RRSIG não geradas ou expiradas
  • Servidores autoritativos não servindo os registros DNSKEY

Ação: Execute o teste em modo Completo. A ferramenta identifica exatamente qual elo está quebrado. Comece verificando se o DS no registrador corresponde à KSK: mesmo key tag e algoritmo.

Inconsistência DNSKEY entre servidores (DNSSEC_SERVER_INCONSISTENT)

Sintoma: Servidores autoritativos retornam conjuntos DNSKEY diferentes. Detectado apenas em modo Completo.

Causa provável: Transferência de zona entre primário e secundários não concluída. Ou um servidor com dados obsoletos.

Ação: Verifique a replicação entre seus servidores DNS. Force um AXFR/IXFR se necessário. Aguarde alguns minutos e execute o teste novamente.

Verificar DNSSEC com dig (linha de comando)

Para administradores que preferem o terminal, o dig permite verificar DNSSEC manualmente:

# Verificar os registros DS no parent
dig DS captaindns.com +short

# Verificar as DNSKEY da zona
dig DNSKEY captaindns.com +dnssec +short

# Verificar as RRSIG em um registro
dig A captaindns.com +dnssec

# Verificar a cadeia completa com validação
dig captaindns.com +sigchase +trusted-key=./root.keys

Esses comandos exigem experiência DNS e acesso ao terminal. O DNSSEC Checker acima faz o mesmo trabalho automaticamente, com resultados visuais e sem linha de comando.

DNSSEC por provedor DNS

A ativação de DNSSEC depende da cooperação entre seu provedor DNS e seu registrador. Veja como os principais se comparam:

ProvedorDNSSECAtivaçãoAlgoritmo padrão
CloudflareAutomáticoUm clique no dashboard, depois adicionar o DS no registradorECDSAP256SHA256 (13)
OVHSuportadoAtivação pelo painel do cliente ou APIVaria conforme a configuração
AWS Route 53SuportadoPelo console AWS, criação de KSK e depois DS no registradorECDSAP256SHA256 (13)
GandiAutomáticoAtivado por padrão se Gandi é registrador + provedor DNSECDSAP256SHA256 (13)
InfomaniakSuportadoAtivação pelo painelECDSAP256SHA256 (13)

Após ativar DNSSEC no seu provedor, sempre verifique a cadeia de confiança com o checker acima. O erro nº 1: DS no registrador que não corresponde à DNSKEY gerada pelo provedor.

Boas práticas DNSSEC

Algoritmo de assinatura: Use ECDSAP256SHA256 (13) ou ED25519 (15). ECDSA produz assinaturas 4x menores que RSA-2048. Evite RSA, exceto por exigência de compatibilidade.

Digest DS: Publique com SHA-256 (tipo 2). Adicione SHA-384 (tipo 4) se o registrador suportar. Nunca publique SHA-1 sozinho.

Rotação de chaves: Siga o processo da RFC 7583. Nunca remova o DS antigo antes que o novo tenha propagado completamente. Execute o DNSSEC Checker após cada rollover para confirmar zero DS órfãos.

Monitoramento: Verifique a cadeia após cada modificação DNS. As RRSIG têm validade limitada. Se sua zona não for reassinada antes da expiração, os resolvedores retornam SERVFAIL sem aviso.

Migração de provedor: Antes de migrar, confirme que o novo provedor suporta DNSSEC com o mesmo algoritmo. Durante a transição, ambos os conjuntos de chaves devem coexistir até a propagação completa.

Casos de uso concretos

Ativação de DNSSEC em um novo registrador

Acabou de ativar DNSSEC? Execute o modo Simples imediatamente. Confirme que o DS no parent corresponde à DNSKEY da sua zona. Um único erro significa SERVFAIL para todos os resolvedores validantes.

Rotação de chaves (key rollover)

Após um rollover, verifique a ausência de DS órfãos com o modo Simples. Um DS remanescente não quebra a resolução hoje. Mas sinaliza manutenção incompleta e complica o próximo rollover.

Migração de provedor DNS

Migrando para o Cloudflare, Route 53 ou outro? Execute o modo Completo. Verifique três coisas: DS apontam para as novas DNSKEY, assinaturas válidas em todos os servidores autoritativos e chaves consistentes entre servidores.

Auditoria de segurança

O modo Completo é seu relatório de conformidade DNSSEC. Cobre consistência DNSKEY multi-servidor, validade das assinaturas nos dados (SOA, NS, A, MX) e dias até a expiração de cada RRSIG.

Domínio retornando SERVFAIL

Usuários reportam que seu site está inacessível em certas redes? Essas redes provavelmente usam resolvedores validantes. Execute o teste imediatamente. Se a cadeia estiver quebrada, a ferramenta mostra exatamente onde.

FAQ - Perguntas frequentes

P: O que é DNSSEC e por que ativá-lo?

R: DNSSEC adiciona assinaturas criptográficas às respostas DNS. Sem ele, atacantes podem falsificar respostas e redirecionar tráfego (cache poisoning). Com DNSSEC, os resolvedores verificam que as respostas são autênticas.

P: Como verificar se DNSSEC está ativo no meu domínio?

R: Insira seu domínio na ferramenta acima. Se aparecer "DNSSEC não está ativo", nenhum registro DS existe no registry parent. Entre em contato com seu registrador para ativar.

P: O que é um DS órfão?

R: Um registro DS no parent sem DNSKEY correspondente na zona filha. Resultado típico de um key rollover incompleto. Não bloqueia se outro DS válido existir, mas sinaliza configuração incompleta.

P: Por que meu domínio retorna SERVFAIL após ativar DNSSEC?

R: A cadeia de confiança está quebrada. Três causas comuns: DS/DNSKEY não correspondem no registrador, RRSIG ausentes ou expiradas, ou servidores não servindo registros DNSKEY. Execute o modo Completo para encontrar o elo exato.

P: Qual a diferença entre os modos Simples e Completo?

R: Simples verifica a cadeia DS/DNSKEY/RRSIG em um servidor por zona (1-3 segundos). Completo adiciona consistência DNSKEY multi-servidor e valida RRSIG nos dados: SOA, NS, A, MX (5-10 segundos).

P: Quais algoritmos DNSSEC são recomendados?

R: ECDSAP256SHA256 (13) e ED25519 (15). Evite RSAMD5, DSA e RSASHA1-NSEC3-SHA1. A RFC 8624 os classifica como fracos ou proibidos.

P: DNSSEC deixa a resolução DNS mais lenta?

R: Impacto insignificante com resolvedores modernos. As respostas são maiores por causa das assinaturas, mas os resolvedores fazem cache dos resultados validados normalmente.

Ferramentas complementares

FerramentaUtilidade
DNS Domain CheckAuditoria completa da configuração DNS incluindo verificação DNSSEC básica
DNS LookupConsultar manualmente os registros DS, DNSKEY ou RRSIG
DNS Propagation TestVerificar a propagação das modificações DNSSEC ao redor do mundo
RDAP LookupVerificar o estado DNSSEC do domínio junto do registrar

Recursos úteis