DANE Record Checker - Ricerca gratuita dei record TLSA

Cerca immediatamente i record TLSA di qualsiasi dominio, controlla la configurazione DNS DANE e verifica i campi relativi all'utilizzo dei certificati: è gratuito e non è richiesta alcuna registrazione.
Dominio Porta Protocollo
Sto cercando i dati TLSA…
Nome della query
-
Sintesi
Assegni
Nota: la verifica della corrispondenza dell'hash del certificato richiede uno handshake TLS attivo e non viene eseguita da questo strumento. Lo stato DNSSEC viene verificato tramite il flag AD presente nelle risposte DNS.
Ricerca gratuita di DANE · non è richiesta la registrazione

Come utilizzare il DANE Record Checker

1
Inserisci il tuo nome di dominio (ad es. powerdmarc.com) - senza https://
2
Imposta la porta e il protocollo per il servizio da controllare. Usa 25 / TCP per le e-mail SMTP, 443 / TCP per HTTPS
3
Clicca su "Check DANE ": lo strumento risolve i tuoi record MX, cerca i record TLSA sull'host di posta corretto e verifica la validità di tutti i valori dei campi

Che cos'è DANE?

DANE (DNS-Based Authentication of Named Entities) è un protocollo di sicurezza Internet definito nella RFC 6698 che utilizza record TLSA firmati con DNSSEC per associare i certificati TLS ai nomi di dominio. Anziché affidarsi a un'autorità di certificazione (CA) per garantire la validità di un certificato, DANE consente ai proprietari dei domini di pubblicare il certificato previsto direttamente nel DNS, protetto da DNSSEC.

DANE è utilizzato principalmente per la sicurezza della posta elettronica SMTP, dove impedisce agli hacker di intercettare le e-mail in transito utilizzando certificati fraudolenti. È inoltre in grado di proteggere HTTPS, XMPP, SIP e qualsiasi altro protocollo basato su TLS.

Che cos’è DANE? Guida tecnica completa
Fissaggio dei certificati tramite DNS
Pubblica l'impronta digitale prevista del certificato nel DNS, in modo che i client in connessione possano verificarla indipendentemente dalle autorità di certificazione.
Prevenzione degli attacchi MITM
Impedisce gli attacchi man-in-the-middle rendendo impossibile l'intercettazione delle connessioni tramite certificati non autorizzati.
Consegna sicura delle e-mail tramite SMTP
Garantisce che i server di posta in arrivo presentino esattamente il certificato TLS previsto, assicurando così la consegna delle e-mail in forma crittografata.
Riduzione dell'efficacia della prevenzione degli attacchi
Impedisce agli aggressori di costringere i server di posta a utilizzare la crittografia in chiaro o una crittografia meno sicura durante la negoziazione SMTP.

Come funziona DANE?

DANE funziona pubblicando nel DNS un record TLSA che descrive il certificato TLS previsto per un servizio. Quando un client si connette, recupera il record TLSA tramite DNSSEC e lo confronta con il certificato presentato durante la fase di handshake TLS.

1
Pubblica il record TLSA - Il proprietario del dominio crea un record TLSA all'indirizzo _port._protocol.domain con i parametri previsti per il certificato
2
Ricerca DNS con convalida DNSSEC - Il client che si connette esegue una query con convalida DNSSEC per recuperare e autenticare il record TLSA
3
Confronto dell'handshake TLS - Il certificato presentato viene confrontato con i dati di associazione dei certificati presenti nel record TLSA
4
Accetta o rifiuta - Se il certificato corrisponde, la connessione viene stabilita; in caso contrario, viene rifiutata per impedire un uso improprio

Che cos'è un record TLSA?

Un record TLSA è il tipo di record DNS utilizzato dal protocollo DANE. Esso memorizza l'impronta digitale di un certificato TLS (o il certificato completo) associata a un nome DNS specifico, collegato a una porta e a un protocollo, in modo che qualsiasi client in connessione possa recuperarla e verificarla tramite DNSSEC prima di completare la fase di handshake TLS.

I record TLSA seguono questa convenzione di denominazione:

_[port]._[protocol].[hostname] → e.g. _25._tcp.mail.example.com. IN TLSA 3 1 1 ab12cd34…

Per l'SMTP, il record TLSA risiede sul nome host MX, non sul dominio principale. Ecco perché questo strumento risolve automaticamente prima i record MX del tuo dominio, per poi verificare il TLSA sull'host corretto.

Comprendere i campi dei record TLSA

Un disco come 3 1 1 <hash> ovvero DANE-EE, SubjectPublicKeyInfo, SHA-256: la configurazione più comunemente raccomandata per SMTP DANE.

Campo Valori Significato
Utilizzo del certificato 0 = PKIX-TA · 1 = PKIX-EE · 2 = DANE-TA · 3 = DANE-EE Quale certificato della catena deve essere verificato e se è richiesta anche la convalida PKIX CA
Selettore 0 = Certificato completo · 1 = SubjectPublicKeyInfo Se abbinare l'intero certificato o solo la chiave pubblica
Tipo di abbinamento 0 = Esatto · 1 = SHA-256 · 2 = SHA-512 Come vengono codificati i dati del certificato nel record
Dati del certificato Hash con codifica esadecimale o byte del certificato completo L'impronta digitale o il certificato da confrontare con quanto presentato dal server

Problemi comuni nella configurazione DNS DANE

La maggior parte degli errori DANE è dovuta a una manciata di errori di configurazione ricorrenti. Ecco cosa controllare quando la verifica del record DANE restituisce risultati inaspettati.

Problema Causa Impatto
Nessun record TLSA trovato Il DANE non è stato pubblicato per questa porta/questo protocollo, oppure è stato verificato con un nome host errato DANE non può essere applicato; le connessioni si basano esclusivamente sull'affidabilità delle CA
DNSSEC non abilitato I record TLSA privi di DNSSEC possono essere falsificati durante il transito I client DANE rifiutano o ignorano completamente il record TLSA
Discrepanza nel certificato dopo il rinnovo Il certificato TLS è stato rinnovato, ma il record TLSA non è stato aggiornato di conseguenza Connessioni legittime rifiutate; consegna della posta non riuscita
Campi non validi (utilizzo/selettore/corrispondenza) Valori dei campi fuori intervallo o non supportati nel record TLSA La convalida fallisce sempre, anche quando il certificato è corretto
Manca il record di rollover Solo un record TLSA pubblicato durante la transizione del certificato Periodo di inattività nel caso in cui il vecchio record venga rimosso prima che il DNS abbia propagato quello nuovo

Migliori pratiche per i record DANE

Pubblica i record TLSA con rollover
Prima di procedere al rinnovo, assicurati di avere sempre pronto un secondo record TLSA per il tuo prossimo certificato, in modo da evitare problemi di consegna.
Abilita prima il protocollo DNSSEC
DANE funziona solo quando DNSSEC è attivo. Pubblica i tuoi record TLSA solo dopo aver verificato che DNSSEC funzioni correttamente.
Aggiornare TLSA prima del rinnovo del certificato
Aggiungere il nuovo record TLSA al DNS prima di rinnovare il certificato, in modo che la propagazione venga completata in tempo.
Monitorare costantemente i record TLSA
Individua automaticamente le discrepanze tra i certificati e i TLSA prima che causino errori nella consegna delle e-mail.

Domande frequenti

Un record TLSA è un tipo di record DNS (tipo 52) utilizzato dal protocollo DANE per associare un certificato TLS o una chiave pubblica a un dominio, una porta e un protocollo specifici. Esso memorizza un'impronta digitale del certificato protetta da DNSSEC, in modo che i client in connessione possano verificare il certificato durante la fase di handshake TLS senza dover ricorrere a un'autorità di certificazione.

DANE (DNS-Based Authentication of Named Entities) è un protocollo di sicurezza che pubblica le informazioni relative ai certificati TLS direttamente nel DNS tramite record TLSA, protetti dal protocollo DNSSEC. Elimina la dipendenza da autorità di certificazione di terze parti, consentendo ai proprietari dei domini di specificare esattamente quale certificato debba essere considerato attendibile per i propri servizi.

Per l'invio di e-mail tramite SMTP tra server di posta, utilizzare la porta 25 con TCP. Il documento TLSA è pubblicato all'indirizzo _25._tcp.[mx-hostname]. Si noti che, per la posta elettronica, i record TLSA devono essere associati al nome host MX, non al dominio principale. Utilizzare la porta 443 / TCP per HTTPS.

Sì, ed è consigliabile. DANE impone l'uso del protocollo TLS tramite certificati fissati con DNSSEC, mentreMTA-STSimpone l'uso del protocollo TLS tramite una politica ospitata su HTTPS. L'utilizzo di entrambi massimizza la copertura: DANE protegge dalle autorità di certificazione non autorizzate, mentre MTA-STS copre i server mittenti che non supportano DANE.

Sì, il DNSSEC è un requisito imprescindibile per il DANE. Senza il DNSSEC, chiunque potrebbe pubblicare un record TLSA contraffatto che rimanda a un certificato dannoso, rendendo inutile l'intera procedura di convalida. Il DNSSEC firma crittograficamente i record DNS in modo che i resolver possano verificare che non siano stati manomessi.

DANE-TA (Trust Anchor, utilizzo 2) corrisponde a un certificato CA intermedio o radice: qualsiasi certificato firmato da tale CA supererà la convalida. DANE-EE (End Entity, utilizzo 3) corrisponde direttamente al certificato o alla chiave pubblica del server stesso. Per SMTP, l'utilizzo 3 con selettore 1 (chiave pubblica) e tipo di corrispondenza 1 (SHA-256) è la configurazione raccomandata secondo RFC 7672.

Prova altri strumenti di autenticazione e-mail

Rafforza la sicurezza del tuo dominio con i nostri strumenti di ricerca gratuiti:

Segui un link aggiunto manualmente

dmarc record checker icona powerdmarc

SPF
Generatore

Segui un link aggiunto manualmente

spf record lookup icona powerdmarc

Record SPF
Checker

Segui un link aggiunto manualmente

icona di ricerca dei record dkim powerdmarc

DKIM
Checker

Segui un link aggiunto manualmente

generatore di dischi bimi icona powerdmarc

BIMI (
) Checker

Segui un link aggiunto manualmente

icona del generatore di dischi dmarc powerdmarc

DMARC
Checker

Controlla i tuoi record DANE e la sicurezza delle tue e-mail 24 ore su 24, 7 giorni su 7


PowerDMARC monitora automaticamente i tuoi record TLSA, lo stato DNSSEC e i certificati TLS, avvisandoti immediatamente in caso di malfunzionamenti o scadenze.


Prenota una demo Iniziare la prova di 15 giorni