Comprobador gratuito de DNSSEC

Comprueba al instante si DNSSEC está correctamente configurado para cualquier dominio. Nuestro validador gratuito de DNSSEC verifica los registros DS en tu registrador, los registros DNSKEY en tu servidor de nombres autoritativo, la validez de la firma RRSIG y la cadena de confianza completa desde tu dominio hasta la raíz del DNS.

Obtén resultados en segundos

No es necesario registrarse.

Ideal para administradores de DNS y propietarios de dominios

Diseñado para solucionar errores de validación de DNSSEC.

Comprobador de registros DNSSEC

Utilice esta herramienta para buscar y validar su registro DNSSEC.

Por favor, introduzca un nombre de dominio válido, sin el prefijo http://

Estado de DNSSEC

Discapacitados

DNSSEC en el registrador

Discapacitados

DNSSEC en los servidores de nombres

Discapacitados
Resultados
Estado registral:

0+

Organizaciones de todo el mundo

0+

Empresas de la lista Fortune 100 y gobiernos

0+

países en los que operamos

¿Qué comprueba este verificador de DNSSEC?

Nuestro verificador de DNSSEC realiza seis comprobaciones de validación fundamentales en tu dominio:

1

Registro DS en la Secretaría

Confirma que el registro del firmante de la delegación existe en tu zona principal (en tu registrador). Este es el eslabón fundamental que conecta tu zona firmada con la cadena de confianza global.

2

Registro DNSKEY en la zona

Comprueba que el registro de la clave pública esté publicado en tu servidor de nombres autoritativo. Una zona suele tener dos claves: una clave de firma de zona (ZSK) para uso diario y una clave de firma de claves (KSK) para firmar la ZSK.

3

Validez de la firma RRSIG

Comprueba que los registros DNS cuenten con firmas criptográficas y que estas no hayan caducado. Los RRSIG caducados impiden inmediatamente la validación de DNSSEC.

4

Coincidencia DS-DNSKEY

Comprueba que el registro DS de tu registrador haga referencia correctamente al DNSKEY de tu zona. Una discrepancia (a menudo debida a una renovación incompleta de la clave) provoca que falle la validación.

5

Seguridad de los algoritmos

Identifica los algoritmos de firma obsoletos o poco seguros. Los algoritmos poco seguros pueden poner en peligro las ventajas de seguridad que ofrece el DNSSEC.

6

Integridad de la cadena de confianza

Confirma que toda la cadena, desde la raíz del DNS hasta tu dominio pasando por el TLD, está intacta. Si hay un eslabón roto en cualquier punto de esta cadena, la validación fallará por completo.

El verificador devuelve uno de estos cuatro estados:

Activado

Todas las comprobaciones se han superado con éxito en tus registros.

Parcial

El registro DNSKEY está presente, pero falta el registro DS en tu registrador de dominios.

Configuración incorrecta

Existe el registro DS, pero falta la clave DNSKEY correspondiente.

No está activado

No se han podido localizar ni los registros DS ni los DNSKEY.

¿Qué es DNSSEC?

DNSSEC (Extensiones de seguridad del Sistema de Nombres de Dominio) es un conjunto de extensiones criptográficas del DNS que permite a los resolutores verificar que las respuestas del DNS son auténticas y no han sido manipuladas durante la transmisión. DNSSEC añade firmas digitales a los registros del DNS y crea una cadena de confianza desde la zona raíz del DNS hasta los dominios individuales. Esto protege contra los ataques de envenenamiento de caché del DNS y de suplantación de identidad del DNS, que podrían redirigir a los usuarios a servidores maliciosos.

DNSSEC no cifra las consultas DNS. De eso se encargan los protocolos DNS-over-HTTPS o DNS-over-TLS. Tampoco protege el contenido del correo electrónico ni sustituye a DMARC, DKIM o SPF. Más bien, protege el proceso de resolución DNS del que dependen esos estándares de autenticación del correo electrónico.

Para profundizar en el funcionamiento de DNSSEC, consulta nuestro:

Comprender la cadena de confianza

La validación DNSSEC funciona de arriba abajo a través de una cadena jerárquica de confianza:

Raíz del DNS
Dominio de nivel superior (.com, .org, etc.)
Su dominio

Cada nivel es firmado y autenticado por el nivel superior mediante un registro DS. Si esta cadena se rompe en cualquier nivel, aunque tu zona esté perfectamente configurada, la validación fallará.

El error más habitual: el registro DS no se ha enviado a tu registrador. Tu zona está firmada (existe el DNSKEY), pero no está vinculada a la zona principal. El verificador devuelve el resultado «Parcial».

Para solucionarlo: envía tu registro DS (de tu proveedor de DNS) a tu registrador. Ambos elementos deben existir para que la cadena funcione.

Explicación de los tipos de registros DNSSEC

DNSSEC utiliza cuatro tipos principales de registros DNS, todos los cuales son validados por nuestra herramienta.

Registro DNSKEY

Almacena la clave pública utilizada para verificar las firmas DNSSEC. Incluye la ZSK (que firma los registros) y la KSK (que firma la ZSK).

1
Registro de DS (firmante delegado)

Contiene un hash de la clave DNSKEY de la zona principal, lo que vincula tu dominio a la cadena de confianza de DNSSEC.

2
RRSIG (Firma de registro de recursos)

Firma criptográfica para cada conjunto de registros DNS. Debe renovarse antes de su vencimiento para mantener la validación DNSSEC.

3
Registro NSEC / NSEC3

Demuestra que los registros DNS no existen (negación autenticada de la existencia). NSEC3 es la variante que protege la privacidad. Impide que los atacantes enumeren todos los nombres de tu zona.

4

Cómo activar DNSSEC para tu dominio

La activación de DNSSEC es un proceso que consta de dos pasos. Para que la validación sea completa, es necesario completar ambos pasos:

Paso 1

Activa la firma DNSSEC en tu proveedor de alojamiento DNS

Inicia sesión en tu proveedor de DNS, activa la firma DNSSEC para tu dominio y copia el registro DS generado. De este modo se crearán tus registros DNSKEY y se iniciará la firma automática de tu zona DNS.

Paso 2

Envía el registro DS a tu registrador

Inicia sesión en tu registrador de dominios, abre la configuración de DNSSEC y añade el registro DS generado en el paso 1. Guarda los cambios para completar la cadena de confianza de DNSSEC.

Plazo: la propagación del DNS tarda entre 24 y 48 horas.

Error habitual: Muchos usuarios activan la firma DNSSEC, pero se olvidan de publicar el registro DS, lo que hace que la cadena de confianza quede incompleta.

Errores habituales de DNSSEC y cómo solucionarlos

A continuación se enumeran los cinco errores más comunes de configuración de DNSSEC y cómo solucionarlos:

Estado: Parcial o mal configurado

El registro DS falta o está mal configurado

Causa: La clave DNSKEY está presente en tu zona (por lo que tu zona está firmada), pero el registro DS no se ha enviado a tu registrador o es incorrecto. La cadena de confianza se rompe a nivel del registrador.

Soluciones recomendadas:

  • Inicia sesión en tu registrador de dominios (GoDaddy, Namecheap, etc.)
  • Accede a la configuración de DNS de tu dominio
  • Busca la sección «DNSSEC» o «DS Record»
  • Consigue el registro DS desde el panel de control de tu proveedor de alojamiento DNS
  • Pega el valor del registro DS en el campo «Registro DS» de tu proveedor de registro.
  • Guarda los cambios y espera entre 24 y 48 horas a que se propague el DNS.
  • Vuelve a ejecutar el verificador para confirmar que el estado es «Habilitado»
Estado: No activado

DNSSEC no está habilitado en el registrador ni en el servidor de nombres

Causa: La firma DNSSEC no está habilitada en ningún sitio. No existen registros DNSKEY ni DS.

Soluciones recomendadas:

  • Inicia sesión en el panel de control de tu servicio de alojamiento DNS (Cloudflare, Route 53, etc.)
  • Busca la sección «DNSSEC» o «Seguridad del DNS»
  • Activa la firma DNSSEC para tu dominio
  • Copia el registro DS o los datos DNSKEY facilitados
  • Inicia sesión en tu proveedor de registro y añade el registro DS (sigue los pasos indicados anteriormente).
  • Espera entre 24 y 48 horas y vuelve a ejecutar la herramienta de comprobación
Estado: Configuración incorrecta

Firma RRSIG caducada

Causa: Las firmas de tus registros DNS han caducado. Esto suele deberse a un fallo en la renovación automática de claves o a una interrupción del servicio del proveedor de alojamiento DNS.

Soluciones recomendadas:

  • Inicia sesión en el panel de control de tu alojamiento DNS
  • Busca la sección de DNSSEC y ejecuta la acción «volver a firmar la zona» o «actualizar las firmas».
  • Si no existe dicha acción, desactiva y vuelve a activar la firma DNSSEC
  • Espera unos minutos a que se vuelvan a generar las firmas
  • Vuelve a ejecutar el verificador
Estado: Configuración incorrecta

Discrepancia entre DS y DNSKEY

Causa: El registro DS de tu proveedor de registro ya no coincide con el DNSKEY de tu zona. Esto suele ocurrir tras una renovación de claves, cuando no se ha actualizado el registro DS.

Soluciones recomendadas:

  • Inicia sesión en el panel de control de tu alojamiento DNS y obtén el registro DS actual (puede que haya cambiado durante la renovación).
  • Inicia sesión en tu proveedor de registro
  • Actualiza el registro DS con el nuevo valor que te haya facilitado tu proveedor de DNS
  • Espera entre 24 y 48 horas y vuelve a ejecutar el verificador
Estado: Parcial

DNSSEC activado en el servidor de nombres, pero no en el registrador

Causa: Tu zona está firmada (hay registros DNSKEY), pero tu registrador no dispone del registro DS. Este es el error de configuración de DNSSEC más habitual.

Soluciones recomendadas:

  • Inicia sesión en tu registrador de dominios (GoDaddy, Namecheap, etc.)
  • Accede a la configuración de DNS de tu dominio
  • Busca la sección «DNSSEC» o «DS Record»
  • Consigue el registro DS desde el panel de control de tu proveedor de alojamiento DNS
  • Envíalo a tu secretario académico

DNSSEC y seguridad del correo electrónico

DNSSEC y los estándares de autenticación del correo electrónico (DMARC, DKIM, SPF) son capas de seguridad complementarias, pero independientes.

Cómo se conectan

DNSSEC protege las consultas al DNS, mientras que SPF, DKIM y DMARC protegen el correo electrónico. Garantiza que los registros DNS utilizados para la autenticación del correo electrónico sean auténticos y no hayan sido manipulados.

Por qué es importante el DNSSEC

Sin DNSSEC, los atacantes pueden falsificar las respuestas del DNS y sustituir tu clave DKIM por una falsa. DNSSEC evita que esto ocurra al garantizar que los servidores de correo obtengan la clave DKIM auténtica de tu DNS.

Lo que no hace el DNSSEC

DNSSEC no sustituye a DMARC, DKIM ni SPF. Las tres tecnologías siguen siendo necesarias para la autenticación del correo electrónico. DNSSEC solo refuerza la infraestructura del DNS en la que se basan.

Comprueba si tu dominio tiene activada la autenticación de correo electrónico

¿Has comprobado tu registro DMARC?

Comprueba al instante si tu registro DMARC está activo, es válido y no presenta errores de sintaxis con nuestra herramienta de consulta gratuita.

Comprobador de DMARC

¿Cuando p = none? Pasar a la fase de ejecución.

El servicio DMARC alojado de PowerDMARC te guía de forma segura desde la supervisión hasta la aplicación completa de la política «p=reject», con visibilidad en tiempo real.

DMARC alojado

¿Quieres un seguimiento continuo?

PowerDMARC analiza automáticamente los informes agregados y te avisa cuando aparecen nuevos remitentes o surgen problemas de autenticación.

Empieza gratis

Lo que nuestros clientes y socios dicen de nosotros

Steve Smith
Steve Smith

Director regional de Auckland, Advantage

«Nuestro negocio se basa en la confianza, no solo entre nosotros y nuestros clientes, sino también con nuestros socios. La excelente colaboración que mantenemos con PowerDMARC nos permite ofrecer servicios excepcionales a nuestros clientes».

Preguntas frecuentes

¿Qué es el DNSSEC y cómo funciona?
DNSSEC añade firmas criptográficas a los registros DNS y establece una cadena de confianza desde la raíz del DNS hasta los dominios individuales. Cuando un resolutor consulta un dominio firmado con DNSSEC, verifica las firmas en cada nivel de la jerarquía para confirmar que la respuesta es auténtica y no ha sido modificada. Consulta nuestra guía completa sobre DNSSEC para conocer los detalles técnicos.
¿Cómo puedo comprobar si DNSSEC funciona?
Introduce tu dominio en el verificador de arriba y haz clic en «Verificar». La herramienta comprueba los registros DS en el registrador, los registros DNSKEY en tu servidor de nombres y toda la cadena de confianza, y muestra un estado: «Habilitado», «Parcial», «Mal configurado» o «No habilitado». También puedes ejecutar dig DS yourdomain.com @8.8.8.8 desde la línea de comandos para consultar manualmente el registro DS.
¿Sigue siendo relevante el DNSSEC?
Sí. El envenenamiento de la caché DNS sigue siendo un vector de ataque activo, y DNSSEC es la única defensa a nivel de protocolo contra él. Además, es un requisito previo para DANE (autenticación de entidades con nombre basada en el DNS), que permite verificar los certificados independientemente de las autoridades de certificación. Actualmente, muchos gobiernos, organismos reguladores y marcos de cumplimiento exigen el uso de DNSSEC para los dominios críticos.
¿Qué se valida con DNSSEC?
DNSSEC valida la autenticidad y la integridad de las respuestas del DNS, confirmando que las direcciones IP, los registros MX y otros datos del DNS devueltos para un dominio proceden de un servidor autoritativo y no han sido modificados durante la transmisión. No valida el contenido de los sitios web ni los mensajes de correo electrónico, y tampoco cifra las consultas al DNS.

¿Está preparado para evitar el abuso de la marca, las estafas y obtener una visión completa de su canal de correo electrónico?