Kuidas DNSSECi kontrollida?
DNSSEC-i kontrollimiseks on kaks varianti - kas kontrollida ise või lasta teistel kontrollida enda eest.
Kuidas ise kontrollida?
Kui soovid kontrollida, kas külastatav internetilehekülg on DNSSECiga kaitstud, ning kas DNSSECi allkirjad on korrektsed, tuleb oma veebilehitsejasse paigaldada vastav plugin. Seda põhjusel. et brauseritesse ei ole DNSSECi tuge sisse ehitatud.
Mozilla Firefox
DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:
https://www.dnssec-validator.cz/pages/download.html
DNSSEC Validator: Samuti Tšehhi domeeniregistri poolt arendatud pistikprogramm, mis kontrollib vaid DNSSECi võtmeid. Leitav ka Mozilla lisade haldurist:
https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/
Google Chrome
DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:
https://www.dnssec-validator.cz/pages/download.html
DNSSEC Validator: Samuti Tšehhi domeeniregistri poolt arendatud pistikprogramm, mis kontrollib vaid DNSSECi võtmeid:
https://chrome.google.com/webstore/detail/dnssec-validator/hpmbmjbcmglolhjdcbicfdhmgmcoeknm
Internet Explorer
DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:
https://www.dnssec-validator.cz/pages/download.html
Apple Safari, Opera, Seamonkey
Nimetatud veebilehitsejatele ei ole hetkel teada ühtegi pistikut. Siiski, tšehhid on teada andnud, et DNSSEC/TLSA Validator versiooniga 2.2 lisandub tugi ka neile. 07.01.2014 oli väljas versioon 2.1.0-rc1.
Kuidas teised kontrollivad?
Suhtlus internetis käib läbi lahendavate nimeserverite (resolver), mis lahendavad meie poolt veebilehitseja aadressiribale sisestatu IP-aadressiks. Valdav enamus internetikasutajaid kasutab oma internetiteenuse pakkuja lahendava nimeserveri teenust.
Eesti suurtest internetiteenuse pakkujatest lülitas augustis 2013 DNSSEC-i kontrolli sisse Elion. Elionile järgnes EMT ja veeburaris 2014 Infonet, kelle teenuseid kasutavad kõik STV kliendid. Internetikasutajad, kes pole Elioni, EMT või STV kliendid, võiksid sama ka oma teenuse pakkujalt nõuda!
Kontrolli kas sinu interneti teenuse pakkuja toetab DNSSECi selle Hollandi domeeniregistri poolt arendatud testiga: http://dnssectest.sidn.nl/index.php
Lisaks on võimaliks kontrollida nii oma lahendava nimeserveri DNSSECi tuge kui ka sirviku pistikute tööd nende Eesti Interneti SA katkise usaldusahelaga test domeenide abil:
Kui saad teate, et lehte pole võimalik kuvada ja sirviku pistik näitab punast võtmekest on kõik korras - sinu kasutatav lahendav nimeserver sai aru, et selle lehe DNSSECi võtmetes esineb viga ja ei näita Sulle Su enda kaitseks seda lehte.
Ka Google avatud lahendavad nimeserverid toetavad DNSSEC-i. Need leiab aadressidelt:
- IPv4: 8.8.8.8, 8.8.4.4
- IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844
Kasutades DNSSEC-i kontrolliva lahendava nimeserveri teenust, saab kasutaja olla kindel, et talle kuvatav DNSSEC-iga kaitstud lehekülg on õige, sest vastasel korral ei näidata lehekülge üldse.