Tohle není dig, tahle věc neumí prakticky nic, jen vrátit jeden ze tří druhu záznamů a to je žalostně málo. Je třeba mít dig a používat validující resolver (stačí čtyři osmičky od Google). Pak se můžu zeptat na záznam Wedos.cz:
$ dig wedos.cz a
…
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 3
…
Zřetelně tam chybí AD flag (Authenticated Data), takže informace ze zóny nemohly být ověřeny. Přesto jsou data v zóně podepsaná, jak se můžeme snadno přesvědčit:
$ dig wedos.cz a +dnssec +multi
…
;; ANSWER SECTION:
wedos.cz. 300 IN A 46.28.104.85
wedos.cz. 300 IN RRSIG A 7 2 300 (
20161125160130 20161026162023 42647 wedos.cz.
mIifyMgwowMFfMVrEhZM2WoOXKHUkbMFH8kH2bLrLTyu
WhQNYyTdIclZ6t6pKsu59vpwHCQRRzWHTlMbXfsG9Q== )
…
V zóně je správně i veřejný klíč:
$ dig wedos.cz dnskey +dnssec +multi
…
;; ANSWER SECTION:
wedos.cz. 1800 IN DNSKEY 257 3 7 (
AwEAAcscblDllNZR0QA5p/j8k8wLoZ353GELoxNpccFM
4a0SzPKMRv/WYaz0aX3uKNxH7bsZd6Wq9HeR9oZxwFHe
UKOQZzUhPzHGy6xZ4fZ0ILgiAXC14ZjLWAZZlP0C96NE
F64SoFoUDUjq66IiJGa3QeXcfwEzXPY/dG2FWYsWImhJ
) ; KSK; alg = NSEC3RSASHA1; key id = 33900
…
Ale když se zeptáme nadřazených serverů pro doménu .CZ, tak zóna neobsahuje DS záznam s otiskem klíče, který se pak má hledat v podřazené zóně.
$ dig wedos.cz ds @a.ns.nic.cz +dnssec +multi
Ergo řetěz je roztržený a zóna .CZ tak vlastně tvrdí, že doména wedos.cz podepsaná není a tedy se už ani v resolveru nevaliduje.