Comment vérifer que le résolveur que vous utilisez vérifie bien les signatures DNSSEC des domaines que vous consultez ?

Rien de plus simple ! il suffit d'utiliser l'utilitaire dig sur une zone ayant une signature DNSSEC erronée :

$ dig sigok.verteiltesysteme.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10465
$ dig sigfail.verteiltesysteme.net | grep status
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24646

Si vous avez bien un SERVFAIL dans le deuxième cas, c'est que votre résolveur vérifie bien les signature DNSSEC !