[C’est suite à une question posée sur Twitter et où la réponse prend plus de 140 caractères. On a le droit d’utiliser Seenthis pour ça ?]
La question était « Existe-t-il une commande qui résolve une adresse et dise si la résolution est signée #DNSSEC ou pas ? »
1) Réponse ultra-courte :
Utiliser le résolveur DNSSEC public de l’#OARC ►https://www.dns-oarc.net/oarc/services/odvr avec la commande "dig +dnssec @149.20.64.21 WWW.LENOM.EXAMPLE". Si la réponse a le "flag" AD (Authentic Data), c’est qu’elle est signée par DNSSEC.
2) Réponse longue :
Installer son propre résolveur validant (avec #Unbound, c’est plutôt simple). Utiliser la même commande dig.
3) Réponse pour chef et commercial :
Il doit y avoir une solution sur le Web mais je ne la connais pas.