Respostas:
dig [zone] dnskey
Isso mostrará se existe o DNSKEY RRset necessário na zona que será usado para validar os conjuntos de RRs na zona.
Se você deseja ver se o servidor recursivo está validando a zona,
dig +dnssec [zone] dnskey
Isso definirá o bit DO (dnssec OK) na consulta de saída e fará com que o resolvedor upstream defina o bit AD (dados autenticados) no pacote de retorno se os dados forem validados e também fornecerá os RRSIGs relacionados (se a zona em (a pergunta está assinada), mesmo que não consiga validar a resposta.
Você pode dar uma olhada no último grupo de slides na minha apresentação "DNSSEC em 6 minutos" (muito sobre depuração do DNSSEC). Essa apresentação é um pouco demorada para implantar o DNSSEC (você deve realmente observar o BIND 9.7 para ver as coisas boas), mas a depuração mudou pouco.
Há também uma apresentação que fiz na NANOG 50 sobre a implantação do BIND 9.7 DNSSEC .
Não acredito que seja mostrado no navegador.
Há uma extensão para o firefox que pode fazer o que você deseja:
alternativamente, talvez uma dessas ferramentas?
No terminal: dig tunnelix.com + dnssec
Você precisa encontrar o RRSIG (RRset Signature) que aponta para uma assinatura DNSSEC.
Resposta do Exemplo1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
Caso contrário, valide seu DNSSEC através do verificador DNSSEC gratuito online. https://dnssec-debugger.verisignlabs.com
Para mais informações, consulte estes links que podem ser úteis: