¿Cuál es la diferencia entre Bogus e Insecure?

Insecure significa que la zona no está firmada — sin DNSKEY, sin DS — y los resolvers aceptan respuestas sin validar. Es el comportamiento por defecto y es correcto. Bogus significa que la zona SÍ está firmada pero la validación falla — DS dice 'esta zona está firmada' pero las firmas no cuadran. Bogus es un incidente en producción: los resolvers validadores devuelven SERVFAIL y todos los usuarios con esos resolvers no pueden llegar a ti. Arregla Bogus con urgencia.

¿Por qué mi consulta DNSKEY devuelve vacío en una zona Bogus?

Cloudflare 1.1.1.1 es un resolver validador. Cuando falla la validación DNSSEC, se niega a devolver los registros firmados — ese es el propósito de DNSSEC. Así que en zona Bogus, DNSKEY aparece con 0 respuestas aunque el servidor autoritativo los esté sirviendo. PingThat detecta esto combinando Status=2 (SERVFAIL) en la consulta A con presencia de DS en el padre, firma exacta de una zona Bogus.

¿Debo habilitar DNSSEC?

La mayoría de hostings no lo necesitan estrictamente — HTTPS ya autentica el servidor y el tampering DNS se detecta en TLS. DNSSEC importa más para correo DANE, autenticación DoT/DoH y ciertos compliance gubernamentales. Y crucial: habilitarlo añade un modo de fallo (Bogus) que puede tirar tu dominio si las claves caducan o firman mal. Si lo activas, monitorízalo continuamente.

¿Qué algoritmos debo usar?

ECDSA P-256/SHA-256 (algoritmo 13) o Ed25519 (algoritmo 15) para zonas nuevas. Ambos son pequeños, rápidos y con amplia compatibilidad. Evita RSA/SHA-1 (algoritmo 5 o 7) — está deprecado. Los proveedores DNS modernos (Cloudflare, Google Cloud DNS, Route 53) usan algoritmo 13 o 14 por defecto. PingThat muestra el nombre del algoritmo en las tablas DS y DNSKEY para verificarlo.

Validador DNSSEC Online Gratis

Sobre esta herramienta

Introduce un dominio para comprobar DNSSEC. La herramienta consulta los registros DNSKEY de la zona, los DS en el padre y pregunta a Cloudflare 1.1.1.1 si la cadena valida (flag AD). Detecta los tres estados que realmente importan en producción: Seguro, Roto (firma inválida) e Inseguro.

Cómo comprobar validación DNSSEC

Introduce un nombre de dominio.
La herramienta consulta el dominio con validación DNSSEC activa y muestra la cadena de confianza.
Revisa cada paso — registro DS en el padre, DNSKEY en la zona y firmas RRSIG en los registros individuales.
Una cadena rota significa que clientes que validan DNSSEC (algunos resolvers, Tor) no pueden verificar los registros del dominio.

Casos de uso comunes

Confirmar que DNSSEC está bien desplegado en un dominio tras activarlo en el registrador.
Depurar errores de resolver donde algunos usuarios no llegan a un dominio porque su resolver valida DNSSEC y la cadena está rota.
Auditar la postura DNSSEC de dependencias (proveedores de login, APIs) antes de confiar en ellas para seguridad.
Comprobar que un rollover de claves no rompió la cadena de validación durante el período de solape.

Preguntas frecuentes

¿Merece la pena la complejidad de DNSSEC?

Para dominios de alta confianza (bancos, gobierno) DNSSEC es estándar. Para sitios generales es opcional pero protege contra envenenamiento DNS si el resolver valida. El tradeoff es un pequeño coste de rendimiento y complejidad operativa.

¿Qué pasa si DNSSEC está roto?

Los resolvers validadores (1.1.1.1 de Cloudflare, algunos ISPs, Tor) devuelven SERVFAIL. Los no validadores resuelven normalmente, ocultando el problema a la mayoría — hasta que das con uno validador.

¿Necesito DNSSEC para un CDN?

Los CDNs manejan DNSSEC de forma distinta. Cloudflare ofrece un toggle simple; otros requieren coordinación entre registrador y CDN. Consulta la documentación de tu proveedor.

¿Se registra mi consulta?

No. La validación corre por el navegador y los resultados no se guardan.

Por qué importa DNSSEC

DNSSEC firma criptográficamente los registros DNS para que los resolvers detecten manipulaciones y envenenamiento de caché. El fallo crítico no es la falta de DNSSEC — es DNSSEC roto (Bogus), que tira tu dominio para cada usuario con resolver validador. Esta herramienta muestra ese estado explícitamente en vez de limitarse a detectar DNSKEY.

Registros DNSKEY del apex
Registros DS en la zona padre
Validación del resolver (flag AD)
Detección de Bogus (firma rota)
Nombres de algoritmo para DS/DNSKEY

Gratis. Sin registro. Las tools de navegador (subred, JWT, fuerza de contraseña) corren localmente; las de consulta usan APIs públicas (Cloudflare DoH, RDAP, registros de certs). Detalle por herramienta en /es/methodology/.

Fuentes (2)

Arends, R., Austein, R., Larson, M., Massey, D., & Rose, S. (2005). Resource Records for the DNS Security Extensions. RFC 4034, IETF.
Arends, R., Austein, R., Larson, M., Massey, D., & Rose, S. (2005). Protocol Modifications for the DNS Security Extensions. RFC 4035, IETF.

Son los RFCs del IETF, las publicaciones del NIST y los estándares del W3C que la herramienta implementa o consulta. Localízalos en el IETF Datatracker (datatracker.ietf.org) o en el organismo correspondiente.

Guías relacionadas

Por Marco B. · Última verificación junio 2026 — corre en tu navegador