Introduction 

The DNSSEC Checking tool is an application that is able to validate your DNSSEC zones. This monitoring  tool is able to find:      network related issues, such as firewall problems  trust related issues, such as incorrect secure parent‐to‐child delegations  zone related issues, such as time/duration problems  DNSSEC choices, such as NSEC vs. NSEC3 

The DNSSEC Monitoring tool can be consulted online; it is therefore not necessary to install any  additional programs. 

Functionality 
The DNSSEC Monitoring tool offers the following functionality:   It is possible to execute a chain validation check that determines if the complete chain of trust  from the secure entry point to the zone is secure and if the signature belonging to the given  domain name and domain type is correct. Here we distinguish:  o TCP check, which tests the TCP response for the authoritative servers that belong to the  zone related to the domain name.  o UDP check, which tests the UDP response for the authoritative servers that belong to  the zone related to the domain name.  An EDNS0 validation check can be executed to see what the minimal and maximal packet size is  for the zone, belonging to the given domain name. This check is done for each known NS record.  The NSEC3 check will perform a check to find out which secure denial of existence mechanism is  used. It is advisable to use NSEC3 to prevent zone enumeration.  The TTL check will verify whether the TTL parameters used in the zone comply with the  recommendations in RFC 4641bis. 

  

Output 
For each output additional information can be provided. To view this information, move your mouse  over the reported value.   CHAIN validation  o OK: The whole chain, including all related keys and signatures is correct.  o WARNING: The related record and/or zone is not using DNSSEC or there was a timeout.  o CRITICAL: The chain has been broken or the signatures do not match the associated  key(s).  o UNKNOWN: Some internal error occurred. 

If there is a timeout for the UDP check, but not for the TCP check we suggest that you take a  look at the EDNS0 validation check.  EDNS0 validation  o OK: The current size of the packets can pass through all links on the path from the  authoritative server to the DNSSEC checker.  o CRITICAL: The authoritative nameserver does not support EDNS0, or one of the routers  on the path from the authoritative server to the DNSSEC checker does not support  EDNS0.  o UNKNOWN: There were timeouts or some internal error occurred.  NSEC3 check  o OK: This zone is using NSEC3 (without OPT‐OUT).  o WARNING: This zone is using NSEC or NSEC3 with OPT‐OUT or no NSEC(3) records were  found. We advise you to change to NSEC3 (without OPT‐OUT).   o UNKNOWN: There were timeouts or some internal error occurred.  TTL check  o OK: This zone complies with all recommendations in RFC 4641bis.  o WARNING: There are one or more parameters that do not comply with the  recommendations in RFC 4641bis.  o UNKNOWN: There are not enough TTL values found to do the calculations required,  there were timeouts or some internal error occurred. 

Questions and Interference 
If you have questions about the DNSSEC Monitoring tool, feel free to mail migiel.devos [at] surfnet.nl  Since the DNSSEC Monitoring tool is a non‐managed service, we cannot provide service regarding  response time when there is any downtime. Nevertheless we would like to be informed when you see  any abnormalities. Feel free to mail migiel.devos [at] surfnet.nl