dig +dnssec domain-name.invalid

で検証できる。結果は、statusに出て、失敗している場合はSERVFAILとなる。 念のために、+cdオプションも追加し、クエリが正常に終了することを確認しよう。

検証に使えるドメインとして、Cloudflareの提示するbrokendnssec.net等を使うと、 リゾルバのテストがしやすいと思う。

成功するドメインは、それこそcloudflare.comでもよいと思うし、jprs.jp等を使ってもよいだろう。

ちなみに、WSL上で特にリゾルバを指定せずにクエリを投げたが、問題無くテスト出来た。