DANE レコードチェッカー - 無料のTLSAレコード検索

ドメインのTLSAレコードを即座に検索し、DANEのDNS設定を確認し、証明書の使用状況を確認できます。無料で、登録も不要です。

ドメインポートプロトコル

TLSAの記録を検索中……

クエリ名

-

概要

小切手

注：証明書ハッシュの一致確認には、実際のTLSハンドシェイクが必要であり、本ツールでは実行されません。DNSSECの状態は、DNS応答に含まれるADフラグによって確認されます。

DANEの無料検索・登録不要

DANEレコードチェッカーの使い方

ドメイン名を入力してください（例： powerdmarc.com) - なし https://

確認するサービスのポートとプロトコルを設定します。使用方法 25 / TCP SMTPメールについては、 443 / TCP HTTPS用

「Check DANE」をクリックしてください。このツールは、MXレコードを解決し、正しいメールホスト上のTLSAレコードを検索し、すべてのフィールド値を検証します。

DANEとは何ですか？

DANE（DNS-Based Authentication of Named Entities）は、RFC 6698で定義されたインターネットセキュリティプロトコルであり、DNSSECで署名されたTLSAレコードを使用して、TLS証明書をドメイン名に関連付けます。DANEでは、証明書を保証する認証局（CA）を信頼するのではなく、ドメイン所有者が期待される証明書を、DNSSECによって保護されたDNSに直接公開できるようにします。

DANEは、SMTPメールのセキュリティにおいて最も広く導入されており、攻撃者が偽の証明書を使用して転送中のメールを傍受することを防ぎます。また、HTTPS、XMPP、SIP、およびその他のTLSベースのプロトコルのセキュリティも確保できます。

→DANEとは？完全な技術ガイド

DNS による証明書のピンニング

DNSに証明書のフィンガープリントを公開し、接続するクライアントがCAに依存せずにそれを検証できるようにします。

MITM攻撃の防止

不正な証明書を使用した接続の傍受を不可能にすることで、中間者攻撃を防止します。

安全なSMTPメール配信

受信メールサーバーが期待される正確なTLS証明書を提示していることを確認し、暗号化されたメール配信を強制します。

ダウングレード攻撃の防止

SMTPネゴシエーション中に、攻撃者がメールサーバーを平文またはより脆弱な暗号化方式に強制的に切り替えようとするのを防ぎます。

DANEはどのように機能するのでしょうか？

DANEは、サービスで想定されるTLS証明書を記述したTLSAレコードをDNSに公開することで機能します。クライアントが接続する際、DNSSECを介してTLSAレコードを取得し、TLSハンドシェイク中に提示された証明書と照合します。

TLSAレコードを公開する - ドメイン所有者は、以下の場所にTLSAレコードを作成します _port._protocol.domain 期待される証明書パラメータで

DNSSEC検証付きDNS検索- 接続元のクライアントは、TLSAレコードを取得および認証するために、DNSSEC検証付きクエリを実行します

TLSハンドシェイクの比較- 提示された証明書は、TLSAレコードの証明書関連付けデータと照合される

適用または拒否- 証明書が一致すれば接続が成立し、一致しなければ悪用を防ぐために接続を拒否します

TLSAレコードとは何ですか？

TLSAレコードは、DANEで使用されるDNSレコードの一種です。これは、特定のDNS名にポートおよびプロトコルと紐づけてTLS証明書のフィンガープリント（または完全な証明書）を格納するため、接続するクライアントはTLSハンドシェイクを完了する前に、DNSSECを介してこれを取得・検証することができます。

TLSAレコードは、以下の命名規則に従います：

_[port]._[protocol].[hostname] → e.g. _25._tcp.mail.example.com. IN TLSA 3 1 1 ab12cd34…

SMTPの場合、TLSAレコードはルートドメインではなく、MXホスト名に存在します。そのため、このツールはまずドメインのMXレコードを自動的に解決し、その後、正しいホスト上のTLSAを確認します。

TLSAレコードのフィールドについて

次のようなレコード 3 1 1 <hash> DANE-EE、SubjectPublicKeyInfo、SHA-256 を意味します。これは、SMTP DANE において最も一般的に推奨される構成です。

フィールド	価値観	意味
証明書の利用	0 = PKIX-TA · 1 = PKIX-EE · 2 = DANE-TA · 3 = DANE-EE	チェーン内のどの証明書を照合するか、およびPKIX CAの検証も必要かどうか
セレクタ	0 = 完全な証明書 · 1 = SubjectPublicKeyInfo	証明書全体を照合するか、それとも公開鍵のみを照合するか
照合タイプ	0 = 完全一致 · 1 = SHA-256 · 2 = SHA-512	レコード内での証明書データのエンコード方法
証明書データ	16進数エンコードされたハッシュ値、または証明書の全バイトデータ	サーバーが提示する内容と照合するためのフィンガープリントまたは証明書

DANE DNS設定における一般的な問題

DANEの不具合のほとんどは、繰り返し発生するいくつかの設定ミスに起因しています。DANEレコードのチェックで予期しない結果が返ってきた場合、以下の点を確認してください。

問題	原因	インパクト
TLSAの記録が見つかりませんでした	このポート/プロトコルに対してDANEが公開されていないか、または誤ったホスト名でチェックされています	DANEは強制的に適用することはできません。接続はCAの信頼性のみに依存します
DNSSECが有効になっていません	DNSSECに対応していないTLSAレコードは、転送中になりすましの被害に遭う可能性があります	DANEクライアントはTLSAレコードを完全に拒否するか、無視します
更新後の証明書の不一致	TLS証明書は更新されたが、TLSAレコードがそれに合わせて更新されていない	正当な接続が拒否され、メールの配信に失敗しました
無効な使用法／セレクタ／一致するフィールド	TLSAレコード内の値が範囲外であるか、サポートされていない	証明書が正しい場合でも、検証は常に失敗します
ロールオーバーの記録が見つかりません	証明書の移行期間中に公開されるTLSAレコードは1件のみ	DNSが新しいレコードを反映する前に古いレコードが削除された場合のダウンタイム

DANEレコードのベストプラクティス

ロールオーバーTLSAレコードを公開する

更新手続きを行う際は、配信エラーを防ぐため、必ず次期証明書用の予備のTLSAレコードを事前に用意しておいてください。

まずDNSSECを有効にしてください

DANEは、DNSSECが有効になっている場合にのみ機能します。DNSSECが正常に動作していることが確認されてから、TLSAレコードを公開してください。

証明書の更新前にTLSAを更新してください

証明書を更新する前に、新しいTLSAレコードをDNSに追加し、プロパゲーションが間に合うようにしてください。

TLSAレコードを継続的に監視する

メールの配信エラーが発生する前に、証明書とTLSAの不一致を自動的に検出します。

よくあるご質問

TLSAレコードとは何ですか？

TLSAレコードは、DANEがTLS証明書または公開鍵を特定のドメイン、ポート、プロトコルに関連付けるために使用するDNSレコードタイプ（タイプ52）です。このレコードにはDNSSECによって保護された証明書のフィンガープリントが格納されるため、接続するクライアントは、認証局に依存することなく、TLSハンドシェイク中に証明書を検証することができます。

DNSにおけるDANEとは何ですか？

DANE（DNS-Based Authentication of Named Entities）は、TLSAレコードを使用してTLS証明書情報をDNSに直接公開し、DNSSECによって保護されるセキュリティプロトコルです。ドメイン所有者が自身のサービスに対してどの証明書を信頼すべきかを正確に指定できるようにすることで、サードパーティの認証機関への依存を解消します。

メール用DANEには、どのポートとプロトコルを使用すべきですか？

メールサーバー間のSMTPメール配信には、ポート 25 ～とともに TCPTLSAの記録は、以下のURLで公開されています。 _25._tcp.[mx-hostname]なお、メールの場合、TLSAレコードはルートドメインではなく、MXホスト名に設定する必要があります。ポートは 443 / TCP HTTPS用。

DANEとMTA-STSを併用することはできますか？

はい、その通りです。また、そのようにすることをお勧めします。DANEはDNSSECで固定された証明書を使用してTLSを強制しますが、MTA-STSはHTTPSでホストされたポリシーを通じてTLSを強制します。両方を併用することで、カバー範囲を最大限に広げることができます。DANEは不正なCAから保護し、MTA-STSはDANEをサポートしていない送信サーバーをカバーします。

DANEを機能させるには、DNSSECが必要ですか？

はい。DNSSECはDANEにとって必須の要件です。DNSSECがなければ、誰でも悪意のある証明書を指す偽のTLSAレコードを公開できてしまい、検証全体が無意味になってしまいます。DNSSECはDNSレコードに暗号署名を行うため、リゾルバーはレコードが改ざんされていないことを確認できます。

DANE-TA（用法2）とDANE-EE（用法3）の違いは何ですか？

DANE-TA（トラストアンカー、使用法 2）は、中間CAまたはルートCAの証明書と照合します。そのCAによって署名された証明書であれば、すべて検証に合格します。 DANE-EE（エンドエンティティ、使用法 3）は、サーバー自身の証明書または公開鍵と直接照合します。SMTP の場合、RFC 7672 では、セレクタ 1（公開鍵）および照合タイプ 1（SHA-256）を使用した使用法 3 が推奨される構成です。