Was ist das?
DNSSEC bindet die Records einer Zone an eine Kette kryptographischer Signaturen, verankert
im IANA-Trust-Anchor. Ein validierender Resolver (z. B. Cloudflare 1.1.1.1) prüft die Kette
und setzt das AD-Bit in seiner Antwort. Bricht die Kette oder fehlt sie, bleibt
das AD-Bit aus - und alle Folge-Protokolle, die auf DNSSEC vertrauen (DANE/TLSA, SVCB, sichere Delegationen), fallen auf Plain-DNS zurück.
Das Werkzeug fragt DS-Records (Parent-Zone) und DNSKEY-Records (Zone selbst) ab plus eine
A-Record-Probe für das AD-Bit. Es bewertet, ob die Kette technisch geschlossen
ist: DS-Algorithm matched einen KSK in der Zone (RFC 6840 § 5.2), keine deprecated
Algorithmen oder Digest-Typen (RFC 8624), mindestens ein KSK vorhanden.
Wann brauche ich das?
Vor dem Veröffentlichen von TLSA-Records (DANE funktioniert nur auf signierten Zonen), nach einer Registrar-Key-Rotation, wenn das AD-Bit plötzlich aus Resolver-Antworten fällt, oder als jährlicher Sanity-Check, dass kein deprecated SHA-1/RSAMD5 reingerutscht ist.