DANE Record Checker – bezpłatne wyszukiwanie rekordów TLSA

Natychmiastowe wyszukiwanie rekordów TLSA dla dowolnej domeny, sprawdzanie konfiguracji DNS DANE oraz weryfikacja pól dotyczących wykorzystania certyfikatów – za darmo, bez konieczności rejestracji.
Domena Port Protokół
Przeglądam dane z systemu TLSA…
Nazwa zapytania
-
Podsumowanie
Czeki
Uwaga: Porównanie skrótów certyfikatów wymaga aktywnego uzgodnienia TLS i nie jest wykonywane przez to narzędzie. Stan DNSSEC jest weryfikowany na podstawie flagi AD w odpowiedziach DNS.
Bezpłatne wyszukiwanie numerów DANE · bez konieczności rejestracji

Jak korzystać z narzędzia do sprawdzania rekordów DANE

1
Wpisz nazwę swojej domeny (np. powerdmarc.com) – bez https://
2
Ustaw port i protokół dla usługi, którą chcesz sprawdzić. Użyj 25 / TCP w przypadku poczty e-mail SMTP, 443 / TCP dla protokołu HTTPS
3
Kliknij „Sprawdź DANE” – narzędzie to rozpoznaje rekordy MX, wyszukuje rekordy TLSA na odpowiednim serwerze pocztowym i weryfikuje wszystkie wartości pól

Czym jest DANE?

DANE (DNS-Based Authentication of Named Entities) to protokół bezpieczeństwa internetowego zdefiniowany w dokumencie RFC 6698, który wykorzystuje rekordy TLSA podpisane za pomocą DNSSEC do powiązania certyfikatów TLS z nazwami domen. Zamiast polegać na jakimkolwiek urzędzie certyfikacji (CA) w kwestii poświadczania certyfikatu, DANE pozwala właścicielom domen na publikowanie oczekiwanego certyfikatu bezpośrednio w systemie DNS – zabezpieczonego za pomocą DNSSEC.

DANE jest najczęściej stosowany w celu zapewnienia bezpieczeństwa poczty elektronicznej SMTP, gdzie uniemożliwia atakującym przechwytywanie wiadomości e-mail w trakcie przesyłania przy użyciu fałszywych certyfikatów. Może również zabezpieczać protokoły HTTPS, XMPP, SIP oraz wszelkie inne protokoły oparte na TLS.

Czym jest DANE? Kompletny przewodnik techniczny
Przypisywanie certyfikatów za pośrednictwem DNS
Publikuje oczekiwany odcisk certyfikatu w systemie DNS, dzięki czemu łączące się urządzenia mogą go zweryfikować niezależnie od urzędów certyfikacji.
Zapobieganie atakom typu MITM
Zapobiega atakom typu „man-in-the-middle”, uniemożliwiając przechwytywanie połączeń przy użyciu fałszywych certyfikatów.
Bezpieczne dostarczanie wiadomości e-mail za pośrednictwem protokołu SMTP
Gwarantuje, że serwery odbiorcze przedstawiają dokładnie ten certyfikat TLS, którego się oczekuje – zapewniając w ten sposób dostarczanie wiadomości e-mail w formie zaszyfrowanej.
Ograniczenie skuteczności ataków
Zapobiega sytuacji, w której osoby atakujące zmuszają serwery pocztowe do korzystania z szyfrowania w postaci zwykłego tekstu lub słabszego szyfrowania podczas negocjacji SMTP.

Jak działa DANE?

DANE działa poprzez publikowanie w systemie DNS rekordu TLSA, który opisuje oczekiwany certyfikat TLS dla danej usługi. Gdy klient nawiązuje połączenie, pobiera rekord TLSA za pośrednictwem protokołu DNSSEC i porównuje go z certyfikatem przedstawionym podczas uzgadniania połączenia TLS.

1
Opublikuj rekord TLSA - Właściciel domeny tworzy rekord TLSA pod adresem _port._protocol.domain z oczekiwanymi parametrami certyfikatu
2
Wyszukiwanie DNS z weryfikacją DNSSEC – łączący się klient wysyła zapytanie z weryfikacją DNSSEC w celu pobrania i uwierzytelnienia rekordu TLSA
3
Porównanie uzgadniania TLS – przedstawiony certyfikat jest porównywany z danymi powiązania certyfikatów zawartymi w rekordzie TLSA
4
Zastosuj lub odrzuć – jeśli certyfikat jest zgodny, połączenie zostaje nawiązane; w przeciwnym razie zostaje odrzucone, aby zapobiec nadużyciom

Czym jest rekord TLSA?

Rekord TLSA to typ rekordu DNS wykorzystywany przez protokół DANE. Przechowuje on odcisk palca certyfikatu TLS (lub pełny certyfikat) pod określoną nazwą DNS powiązaną z portem i protokołem, dzięki czemu każdy łączący się klient może go pobrać i zweryfikować za pomocą DNSSEC przed zakończeniem uzgadniania TLS.

Pliki TLSA są nazywane zgodnie z następującą konwencją:

_[port]._[protocol].[hostname] → e.g. _25._tcp.mail.example.com. IN TLSA 3 1 1 ab12cd34…

W przypadku protokołu SMTP rekord TLSA znajduje się w nazwie hosta MX, a nie w domenie głównej. Dlatego to narzędzie najpierw automatycznie rozpoznaje rekordy MX Twojej domeny, a następnie sprawdza rekord TLSA na odpowiednim hoście.

Omówienie pól rekordów TLSA

Płyta taka jak 3 1 1 <hash> oznacza DANE-EE, SubjectPublicKeyInfo, SHA-256 – najczęściej zalecaną konfigurację dla protokołu SMTP DANE.

Pole Wartości Znaczenie
Wykorzystanie certyfikatu 0 = PKIX-TA · 1 = PKIX-EE · 2 = DANE-TA · 3 = DANE-EE Który certyfikat z łańcucha należy dopasować oraz czy wymagana jest również weryfikacja certyfikatu PKIX CA
Selektor 0 = Pełny certyfikat · 1 = Informacje o kluczu publicznym podmiotu Czy należy dopasować cały certyfikat, czy tylko klucz publiczny
Typ dopasowania 0 = Dokładny · 1 = SHA-256 · 2 = SHA-512 W jaki sposób dane certyfikatu są zakodowane w rekordzie
Dane certyfikatu Skrót zakodowany w systemie szesnastkowym lub pełna sekwencja bajtów certyfikatu Odcisk palca lub certyfikat, który ma zostać porównany z tym, co przedstawia serwer

Typowe problemy związane z konfiguracją DNS w systemie DANE

Większość awarii protokołu DANE wynika z kilku powtarzających się błędów konfiguracji. Oto, na co należy zwrócić uwagę, gdy sprawdzenie rekordów DANE daje nieoczekiwane wyniki.

Problem Przyczyna Wpływ
Nie znaleziono żadnego wpisu TLSA Dane nie zostały opublikowane dla tego portu/protokołu lub sprawdzono je dla niewłaściwej nazwy hosta Nie można wymusić stosowania standardu DANE; połączenia opierają się wyłącznie na zaufaniu do certyfikatu CA
DNSSEC nie jest włączony Rekordy TLSA bez DNSSEC mogą zostać sfałszowane podczas przesyłania Klienci DANE całkowicie odrzucają lub ignorują rekord TLSA
Niezgodność certyfikatu po odnowieniu Certyfikat TLS został odnowiony, ale rekord TLSA nie został zaktualizowany odpowiednio do tych zmian Odrzucono prawidłowe połączenia; dostarczenie wiadomości nie powiodło się
Nieprawidłowe użycie/selektor/pola dopasowania Wartości pól poza zakresem lub nieobsługiwane w rekordzie TLSA Weryfikacja zawsze kończy się niepowodzeniem, nawet jeśli certyfikat jest prawidłowy
Brakujący zapis dotyczący przeniesienia Tylko jeden rekord TLSA opublikowany podczas zmiany certyfikatu Przerwa w działaniu, jeśli stary wpis zostanie usunięty, zanim DNS zdąży zaktualizować nowy

Najlepsze praktyki dotyczące rekordów DANE

Opublikuj rekordy TLSA z danymi o przeniesieniach
Zawsze przygotuj drugi rekord TLSA dla przyszłego certyfikatu przed rozpoczęciem odnowienia, aby uniknąć problemów z dostarczeniem.
Najpierw włącz protokół DNSSEC
Funkcja DANE działa tylko wtedy, gdy protokół DNSSEC jest aktywny. Rekordy TLSA należy opublikować dopiero po upewnieniu się, że protokół DNSSEC działa prawidłowo.
Zaktualizuj TLSA przed odnowieniem certyfikatu
Dodaj nowy rekord TLSA do systemu DNS przed odnowieniem certyfikatu, aby propagacja zakończyła się na czas.
Monitoruj na bieżąco zapisy TLSA
Automatycznie wykrywaj niezgodności między certyfikatami a plikami TLSA, zanim spowodują one problemy z dostarczaniem wiadomości e-mail.

Najczęściej zadawane pytania

Rekord TLSA to typ rekordu DNS (typ 52) wykorzystywany przez protokół DANE do powiązania certyfikatu TLS lub klucza publicznego z konkretną domeną, portem i protokołem. Zawiera on odcisk palca certyfikatu zabezpieczony protokołem DNSSEC, dzięki czemu łączące się urządzenia klienckie mogą zweryfikować certyfikat podczas uzgadniania połączenia TLS bez konieczności korzystania z usług urzędu certyfikacji.

DANE (DNS-Based Authentication of Named Entities) to protokół bezpieczeństwa, który publikuje informacje o certyfikatach TLS bezpośrednio w systemie DNS za pomocą rekordów TLSA, chronionych przez DNSSEC. Eliminuje on zależność od zewnętrznych urzędów certyfikacji, umożliwiając właścicielom domen dokładne określenie, który certyfikat powinien być uznawany za wiarygodny w odniesieniu do ich usług.

W celu przesyłania wiadomości e-mail protokołem SMTP między serwerami pocztowymi należy użyć portu 25 z TCP. Rekord TLSA został opublikowany pod adresem _25._tcp.[mx-hostname]. Należy pamiętać, że w przypadku poczty elektronicznej rekordy TLSA muszą znajdować się na nazwie hosta MX — a nie w domenie głównej. Należy użyć portu 443 / TCP dla protokołu HTTPS.

Tak, i jest to zalecane. DANE wymusza stosowanie protokołu TLS przy użyciu certyfikatów przypisanych za pomocą DNSSEC, natomiastMTA-STSwymusza stosowanie protokołu TLS poprzez politykę hostowaną w sieci HTTPS. Wykorzystanie obu rozwiązań zapewnia maksymalny zakres ochrony — DANE chroni przed nieuczciwymi urzędami certyfikacji, a MTA-STS obejmuje serwery wysyłające, które nie obsługują DANE.

Tak — DNSSEC jest niezbędnym warunkiem dla działania DANE. Bez DNSSEC każdy mógłby opublikować fałszywy rekord TLSA wskazujący na złośliwy certyfikat, co sprawiłoby, że cała weryfikacja stałaby się bezcelowa. DNSSEC kryptograficznie podpisuje rekordy DNS, dzięki czemu programy rozpoznające adresy mogą sprawdzić, czy nie zostały one sfałszowane.

DANE-TA (Trust Anchor, zastosowanie 2) odpowiada certyfikatowi pośredniczącego lub głównego urzędu certyfikacji — każdy certyfikat podpisany przez ten urząd certyfikacji przejdzie weryfikację. DANE-EE (End Entity, zastosowanie 3) dopasowuje bezpośrednio certyfikat serwera lub klucz publiczny. W przypadku SMTP zalecaną konfiguracją zgodnie z RFC 7672 jest zastosowanie 3 z selektorem 1 (klucz publiczny) i typem dopasowania 1 (SHA-256).

Wypróbuj więcej narzędzi do uwierzytelniania wiadomości e-mail

Zwiększ bezpieczeństwo swojej domeny dzięki naszym bezpłatnym narzędziom wyszukiwania:

Postępuj zgodnie z linkiem dodanym ręcznie

dmarc record checker icon powerdmarc

SPF
Generator

Postępuj zgodnie z linkiem dodanym ręcznie

ikona wyszukiwania rekordów spf powerdmarc

Rekord SPF
Checker

Postępuj zgodnie z linkiem dodanym ręcznie

Wyszukiwanie rekordów DKIM Icon PowerDMARC

Narzędzie do sprawdzania podpisów DKIM (
)

Postępuj zgodnie z linkiem dodanym ręcznie

generator rekordów bimi ikona powerdmarc

BIMI (
) Checker

Postępuj zgodnie z linkiem dodanym ręcznie

dmarc record generator ikona powerdmarc

DMARC
Checker

Monitoruj swoje rekordy DANE i bezpieczeństwo poczty elektronicznej przez całą dobę, siedem dni w tygodniu


PowerDMARC automatycznie monitoruje Twoje rekordy TLSA, stan DNSSEC oraz certyfikaty TLS — powiadamiając Cię natychmiast, gdy coś przestanie działać lub straci ważność.


Zarezerwuj wersję demonstracyjną Rozpocznij 15-dniowy okres próbny