Comprobador gratuito de DNSSEC
Obtén resultados en segundos
No es necesario registrarse.
Ideal para administradores de DNS y propietarios de dominios
Diseñado para solucionar errores de validación de DNSSEC.
Obtén resultados en segundos
No es necesario registrarse.
Ideal para administradores de DNS y propietarios de dominios
Diseñado para solucionar errores de validación de DNSSEC.
Utilice esta herramienta para buscar y validar su registro DNSSEC.
Estado de DNSSEC
DNSSEC en el registrador
DNSSEC en los servidores de nombres
Nuestro verificador de DNSSEC realiza seis comprobaciones de validación fundamentales en tu dominio:
Confirma que el registro del firmante de la delegación existe en tu zona principal (en tu registrador). Este es el eslabón fundamental que conecta tu zona firmada con la cadena de confianza global.
Comprueba que el registro de la clave pública esté publicado en tu servidor de nombres autoritativo. Una zona suele tener dos claves: una clave de firma de zona (ZSK) para uso diario y una clave de firma de claves (KSK) para firmar la ZSK.
Comprueba que los registros DNS cuenten con firmas criptográficas y que estas no hayan caducado. Los RRSIG caducados impiden inmediatamente la validación de DNSSEC.
Comprueba que el registro DS de tu registrador haga referencia correctamente al DNSKEY de tu zona. Una discrepancia (a menudo debida a una renovación incompleta de la clave) provoca que falle la validación.
Identifica los algoritmos de firma obsoletos o poco seguros. Los algoritmos poco seguros pueden poner en peligro las ventajas de seguridad que ofrece el DNSSEC.
Confirma que toda la cadena, desde la raíz del DNS hasta tu dominio pasando por el TLD, está intacta. Si hay un eslabón roto en cualquier punto de esta cadena, la validación fallará por completo.
El verificador devuelve uno de estos cuatro estados:
Todas las comprobaciones se han superado con éxito en tus registros.
El registro DNSKEY está presente, pero falta el registro DS en tu registrador de dominios.
Existe el registro DS, pero falta la clave DNSKEY correspondiente.
No se han podido localizar ni los registros DS ni los DNSKEY.
DNSSEC (Extensiones de seguridad del Sistema de Nombres de Dominio) es un conjunto de extensiones criptográficas del DNS que permite a los resolutores verificar que las respuestas del DNS son auténticas y no han sido manipuladas durante la transmisión. DNSSEC añade firmas digitales a los registros del DNS y crea una cadena de confianza desde la zona raíz del DNS hasta los dominios individuales. Esto protege contra los ataques de envenenamiento de caché del DNS y de suplantación de identidad del DNS, que podrían redirigir a los usuarios a servidores maliciosos.
Para profundizar en el funcionamiento de DNSSEC, consulta nuestro:
La validación DNSSEC funciona de arriba abajo a través de una cadena jerárquica de confianza:
Cada nivel es firmado y autenticado por el nivel superior mediante un registro DS. Si esta cadena se rompe en cualquier nivel, aunque tu zona esté perfectamente configurada, la validación fallará.
El error más habitual: el registro DS no se ha enviado a tu registrador. Tu zona está firmada (existe el DNSKEY), pero no está vinculada a la zona principal. El verificador devuelve el resultado «Parcial».
Para solucionarlo: envía tu registro DS (de tu proveedor de DNS) a tu registrador. Ambos elementos deben existir para que la cadena funcione.
DNSSEC utiliza cuatro tipos principales de registros DNS, todos los cuales son validados por nuestra herramienta.
Almacena la clave pública utilizada para verificar las firmas DNSSEC. Incluye la ZSK (que firma los registros) y la KSK (que firma la ZSK).
Contiene un hash de la clave DNSKEY de la zona principal, lo que vincula tu dominio a la cadena de confianza de DNSSEC.
Firma criptográfica para cada conjunto de registros DNS. Debe renovarse antes de su vencimiento para mantener la validación DNSSEC.
Demuestra que los registros DNS no existen (negación autenticada de la existencia). NSEC3 es la variante que protege la privacidad. Impide que los atacantes enumeren todos los nombres de tu zona.
La activación de DNSSEC es un proceso que consta de dos pasos. Para que la validación sea completa, es necesario completar ambos pasos:
Activa la firma DNSSEC en tu proveedor de alojamiento DNS
Inicia sesión en tu proveedor de DNS, activa la firma DNSSEC para tu dominio y copia el registro DS generado. De este modo se crearán tus registros DNSKEY y se iniciará la firma automática de tu zona DNS.
Envía el registro DS a tu registrador
Inicia sesión en tu registrador de dominios, abre la configuración de DNSSEC y añade el registro DS generado en el paso 1. Guarda los cambios para completar la cadena de confianza de DNSSEC.
Plazo: la propagación del DNS tarda entre 24 y 48 horas.
Error habitual: Muchos usuarios activan la firma DNSSEC, pero se olvidan de publicar el registro DS, lo que hace que la cadena de confianza quede incompleta.
A continuación se enumeran los cinco errores más comunes de configuración de DNSSEC y cómo solucionarlos:
El registro DS falta o está mal configurado
Causa: La clave DNSKEY está presente en tu zona (por lo que tu zona está firmada), pero el registro DS no se ha enviado a tu registrador o es incorrecto. La cadena de confianza se rompe a nivel del registrador.
Soluciones recomendadas:
DNSSEC no está habilitado en el registrador ni en el servidor de nombres
Causa: La firma DNSSEC no está habilitada en ningún sitio. No existen registros DNSKEY ni DS.
Soluciones recomendadas:
Firma RRSIG caducada
Causa: Las firmas de tus registros DNS han caducado. Esto suele deberse a un fallo en la renovación automática de claves o a una interrupción del servicio del proveedor de alojamiento DNS.
Soluciones recomendadas:
Discrepancia entre DS y DNSKEY
Causa: El registro DS de tu proveedor de registro ya no coincide con el DNSKEY de tu zona. Esto suele ocurrir tras una renovación de claves, cuando no se ha actualizado el registro DS.
Soluciones recomendadas:
DNSSEC activado en el servidor de nombres, pero no en el registrador
Causa: Tu zona está firmada (hay registros DNSKEY), pero tu registrador no dispone del registro DS. Este es el error de configuración de DNSSEC más habitual.
Soluciones recomendadas:
DNSSEC y los estándares de autenticación del correo electrónico (DMARC, DKIM, SPF) son capas de seguridad complementarias, pero independientes.
DNSSEC protege las consultas al DNS, mientras que SPF, DKIM y DMARC protegen el correo electrónico. Garantiza que los registros DNS utilizados para la autenticación del correo electrónico sean auténticos y no hayan sido manipulados.
Sin DNSSEC, los atacantes pueden falsificar las respuestas del DNS y sustituir tu clave DKIM por una falsa. DNSSEC evita que esto ocurra al garantizar que los servidores de correo obtengan la clave DKIM auténtica de tu DNS.
DNSSEC no sustituye a DMARC, DKIM ni SPF. Las tres tecnologías siguen siendo necesarias para la autenticación del correo electrónico. DNSSEC solo refuerza la infraestructura del DNS en la que se basan.
Comprueba al instante si tu registro DMARC está activo, es válido y no presenta errores de sintaxis con nuestra herramienta de consulta gratuita.
Comprobador de DMARC →El servicio DMARC alojado de PowerDMARC te guía de forma segura desde la supervisión hasta la aplicación completa de la política «p=reject», con visibilidad en tiempo real.
DMARC alojado →PowerDMARC analiza automáticamente los informes agregados y te avisa cuando aparecen nuevos remitentes o surgen problemas de autenticación.
Empieza gratis →
Director regional de Auckland, Advantage
«Nuestro negocio se basa en la confianza, no solo entre nosotros y nuestros clientes, sino también con nuestros socios. La excelente colaboración que mantenemos con PowerDMARC nos permite ofrecer servicios excepcionales a nuestros clientes».
dig DS yourdomain.com @8.8.8.8 desde la línea de comandos para consultar manualmente el registro DS.