DNSSEC 诊断

检测 DNSKEY / DS / RRSIG 记录，快速判断域名是否完成 DNSSEC 部署

域名

支持一级或多级域名，不需要填写协议。

检测设置

默认使用公共解析器查询 DNSSEC 记录。

准备就绪

DNSSEC 通过对 DNS 记录进行数字签名，防止 DNS 缓存投毒与中间人篡改。完整的 DNSSEC 部署需要在子区发布 DNSKEY，并在父区发布 DS 记录以完成信任链。本工具会查询 DNSKEY、DS 与 RRSIG 记录，帮助你判断域名是否已完成 DNSSEC 签名、父区委派是否同步。

建议在切换 DNS 服务商或变更密钥后使用本工具复查，确保 DNSSEC 配置连续，避免解析异常。

DNSKEY 有但 DS 没有？

说明父区尚未发布 DS，需要在注册商或上级 DNS 处完成委派。

RRSIG 显示为空？

可能未开启 DNSSEC 或解析器未返回签名记录。

AD 标记为否？

表示解析器未验证 DNSSEC，需确认解析器支持 DNSSEC 验证。

多久生效？

取决于 TTL 与父区刷新时间，建议等待 TTL 后再次检测。