dig +dnssec domain-name.invalid
で検証できる。結果は、statusに出て、失敗している場合はSERVFAILとなる。
念のために、+cdオプションも追加し、クエリが正常に終了することを確認しよう。
検証に使えるドメインとして、Cloudflareの提示するbrokendnssec.net等を使うと、
リゾルバのテストがしやすいと思う。
成功するドメインは、それこそcloudflare.comでもよいと思うし、jprs.jp等を使ってもよいだろう。
ちなみに、WSL上で特にリゾルバを指定せずにクエリを投げたが、問題無くテスト出来た。