Comprueba la cadena de confianza DNSSEC de cualquier dominio

Herramienta gratuita

Verificador DNSSEC

Verifica la cadena de confianza DNSSEC de un dominio, zona por zona

Verificador y prueba DNSSEC gratis. Escribe un dominio para ver si su cadena de confianza está bien configurada, desde el dominio de nivel superior hasta el propio dominio, con diagnóstico por zona y soluciones claras. La verificación se ejecuta en tu navegador.

Escribe un dominio. La verificación se ejecuta en tu navegador mediante DNS-over-HTTPS.

Cómo verificar el DNSSEC de un dominio

Cuatro pasos para pasar de un nombre de dominio a un veredicto claro sobre su configuración DNSSEC.

  1. 1

    Escribe un dominio

    Escribe cualquier dominio en el formulario de arriba. Funcionan tanto los dominios principales como los subdominios. Los nombres de dominio internacionales se convierten a punycode automáticamente.

  2. 2

    Ejecuta la verificación

    La herramienta consulta DNS-over-HTTPS desde tu navegador y recorre la cadena de confianza desde el dominio de nivel superior hacia abajo. Los resultados aparecen aquí mismo en unos segundos.

  3. 3

    Lee el veredicto

    El banner muestra uno de seis estados: seguro, sin firmar, parcial, mal configurado, roto o error. Abre cada zona para ver qué comprobaciones se superaron, cuáles avisan y cuáles fallaron.

  4. 4

    Corrige las advertencias

    Sigue las notas de cada zona. Un registro DS que falta, una firma expirada o un algoritmo heredado tienen cada uno una solución concreta en tu registrador o proveedor de DNS.

Qué puedes aprender de una verificación DNSSEC

Una verificación DNSSEC es la forma más rápida de confirmar que un dominio firmado sigue validando. Úsala para:

  • Confirmar que un dominio recién firmado valida de principio a fin antes de depender de él.
  • Diagnosticar una interrupción por SERVFAIL: un veredicto de dominio roto con el motivo del resolutor señala directamente el eslabón roto.
  • Verificar que el registro DS se agregó correctamente en el registrador tras activar DNSSEC en tu proveedor de DNS.
  • Detectar una firma RRSIG a punto de expirar antes de que deje el dominio fuera de servicio.
  • Identificar un algoritmo de firma heredado (RSASHA1, RSAMD5) que RFC 8624 aconseja retirar.
  • Verificar el dominio de un socio o proveedor antes de depender de DANE o de consultas MX validadas con DNSSEC.

Entender DNSSEC

¿Qué es DNSSEC?

El DNS es la guía telefónica de internet: convierte un nombre como example.com en las direcciones a las que se conectan los equipos. El DNS simple no tiene forma de demostrar que una respuesta es auténtica, así que un atacante que se sitúe entre tú y un servidor DNS puede devolver una respuesta falsa y enviarte al sitio equivocado. DNSSEC (extensiones de seguridad del DNS) lo resuelve firmando los registros DNS con claves criptográficas. Un resolutor que admite DNSSEC comprueba la firma de cada respuesta. Si la firma coincide, la respuesta es auténtica. Si no, el resolutor rechaza la respuesta en lugar de transmitir algo falsificado. DNSSEC protege la integridad de las respuestas DNS. No las oculta y no sustituye a SPF, DKIM ni DMARC.

Cómo funciona la cadena de confianza

Ninguna clave firma todo internet. En su lugar, cada zona responde por la que está debajo, formando una cadena. La raíz del DNS está firmada y su clave viene integrada en todos los resolutores validadores como ancla de confianza. La raíz firma un registro que apunta a la clave de .com. La zona .com firma un registro que apunta a la clave de example.com. La zona example.com firma sus propios registros. Para validar un nombre, un resolutor sigue esta cadena eslabón a eslabón desde la raíz hacia abajo. Cada eslabón tiene dos partes: un registro DS en la zona padre que identifica la clave de la zona hija, y un registro DNSKEY en la zona hija que contiene la clave real. Cuando la huella del DS coincide con el DNSKEY, el eslabón se sostiene. Este verificador recorre la misma cadena y te muestra cada eslabón.

Firmado no es lo mismo que seguro

Un dominio puede publicar claves DNSSEC y aun así no validar. Estar firmado significa que la zona tiene registros DNSKEY y firma sus respuestas. Estar seguro significa que la cadena también está completa: la zona padre publica un registro DS que coincide y las firmas cuadran, así que los resolutores activan el indicador de datos autenticados (AD). Si falta el registro DS en la zona padre, los resolutores tratan la zona como no firmada y las claves no sirven de nada. Si el registro DS apunta a una clave que ya no existe, los resolutores devuelven un error y el dominio queda inaccesible. Por eso activar DNSSEC es un trabajo de dos pasos hecho en el orden correcto: primero publica las claves en tu proveedor de DNS, y después agrega el registro DS en tu registrador. Cuando tu DNS sea de confianza, cierra el círculo del correo con un análisis completo de DMARC, SPF y BIMI.

Preguntas frecuentes

¿Qué es DNSSEC?
DNSSEC (extensiones de seguridad del DNS) agrega firmas digitales a los registros DNS. Un resolutor validador comprueba esas firmas contra una cadena de confianza que empieza en la raíz firmada del DNS y baja por cada zona hasta el dominio. Si las firmas coinciden, el resolutor sabe que la respuesta DNS no se manipuló en tránsito. DNSSEC protege la integridad de las respuestas DNS; no las cifra y no sustituye a SPF, DKIM ni DMARC.
¿Cómo compruebo si un dominio tiene DNSSEC?
Escribe el dominio en el verificador de arriba y ejecútalo. La herramienta consulta DNS-over-HTTPS desde tu navegador, recorre la cadena de confianza desde el dominio de nivel superior hasta el dominio, e indica uno de seis veredictos: seguro, sin firmar, parcial, mal configurado, roto o error. Cada zona firmada recibe un desglose por zona para que veas exactamente dónde funciona o se rompe la cadena.
¿Merece la pena DNSSEC?
DNSSEC frena un ataque concreto: que alguien falsifique o manipule las respuestas DNS de tu dominio, como el envenenamiento de caché. Esa protección también cubre los registros DNS de los que dependen otros sistemas, incluidas las consultas de MX, SPF y MTA-STS, y es un requisito previo para DANE. La contrapartida es operativa: una firma rota o una clave expirada deja tu dominio inaccesible para cualquiera que use un resolutor validador. La mayoría de los dominios funcionan bien sin DNSSEC. Resulta más valioso para dominios de alto valor, donde la manipulación del DNS es una amenaza real y donde quien lo gestiona puede controlar con cuidado las rotaciones de claves.
¿Qué significa un estado DNSSEC roto (bogus)?
Roto (bogus) significa que el dominio está firmado pero la cadena no valida: una firma es incorrecta, falta una clave o un digest del DS no coincide con el DNSKEY al que apunta. Los resolutores validadores responden con SERVFAIL en lugar de una respuesta, así que quien use uno de esos resolutores no puede acceder al dominio en absoluto. Un resultado roto es una interrupción, no una advertencia. Las causas habituales son una rotación de claves que eliminó una clave demasiado pronto, una firma expirada, o desactivar DNSSEC en el proveedor de DNS sin eliminar el registro DS en el registrador.
¿Mejora DNSSEC la entregabilidad del correo?
No directamente. Los proveedores de correo evalúan la entregabilidad según SPF, DKIM, DMARC, la reputación de envío y el contenido, no según si tu zona está firmada. DNSSEC ayuda al correo de forma indirecta, al proteger la integridad de las respuestas DNS de las que depende la autenticación del correo, como las consultas de tus include de SPF, las claves públicas de DKIM y el host de la política MTA-STS. También es necesario para DANE (RFC 7672), que algunos proveedores usan para exigir TLS en el correo entrante. Configura primero SPF, DKIM y DMARC; trata DNSSEC como un control de integridad del DNS aparte.
¿Cuál es la diferencia entre un dominio firmado y uno seguro?
Un dominio firmado publica registros DNSKEY y firma sus respuestas DNS. Un dominio seguro está firmado y su zona padre publica un registro DS que coincide, así que la cadena de confianza está completa y los resolutores validadores activan el indicador de datos autenticados (AD). Un dominio puede estar firmado pero no seguro: si falta el registro DS en la zona padre (parcial) o no coincide con las claves (roto), los resolutores tratan la zona como no firmada o se niegan a responder. Este verificador distingue ambos casos.
¿Este verificador DNSSEC es gratis?
Sí. El verificador DNSSEC es completamente gratis y no requiere registro. La verificación se ejecuta en tu navegador usando resolutores DNS-over-HTTPS públicos, así que no se guarda nada de tu consulta en nuestros servidores.