DANE Record Checker — бесплатный поиск записей в базе данных TLSA

Мгновенно просматривайте записи TLSA для любого домена, проверяйте настройки DANE в DNS и проверяйте поля использования сертификатов — бесплатно и без регистрации.
Домен Порт Протокол
Просмотр записей TLSA…
Название запроса
-
Резюме
Чеки
Примечание: Для проверки совпадения хешей сертификатов требуется установление активного соединения TLS, и данный инструмент не выполняет эту операцию. Статус DNSSEC проверяется с помощью флага AD в ответах DNS.
Бесплатный поиск по DANE · регистрация не требуется

Как пользоваться инструментом проверки записей DANE

1
Введите название домена (например, powerdmarc.com) — без https://
2
Укажите порт и протокол для проверки службы. Используйте 25 / TCP для электронной почты SMTP, 443 / TCP для HTTPS
3
Нажмите «Проверить DANE» — этот инструмент определит ваши записи MX, найдет записи TLSA на нужном почтовом хосте и проверит правильность всех значений полей

Что такое DANE?

DANE (DNS-Based Authentication of Named Entities) — это протокол интернет-безопасности, описанный в RFC 6698, который использует записи TLSA, подписанные с помощью DNSSEC, для привязки сертификатов TLS к доменным именам. Вместо того чтобы полагаться на какой-либо центр сертификации (CA) в качестве гаранта подлинности сертификата, DANE позволяет владельцам доменов публиковать требуемый сертификат непосредственно в DNS, причём с защитой DNSSEC.

DANE наиболее широко используется для обеспечения безопасности электронной почты по протоколу SMTP, где он предотвращает перехват писем в процессе передачи злоумышленниками с помощью поддельных сертификатов. Кроме того, он может обеспечивать безопасность протоколов HTTPS, XMPP, SIP и любых других протоколов, основанных на TLS.

Что такое DANE? Полное техническое руководство
Привязка сертификатов через DNS
Публикует ожидаемый отпечаток сертификата в DNS, чтобы подключающиеся клиенты могли проверить его независимо от центров сертификации.
Предотвращение атак типа «в середине пути»
Предотвращает атаки «человек посередине», делая невозможным перехват соединений с использованием поддельных сертификатов.
Безопасная доставка электронной почты по протоколу SMTP
Гарантирует, что почтовые серверы получателя предоставляют именно тот сертификат TLS, который ожидается, — обеспечивая таким образом доставку электронной почты в зашифрованном виде.
Предотвращение атак с понижением привилегий
Предотвращает попытки злоумышленников заставить почтовые серверы использовать открытый текст или более слабое шифрование во время SMTP-согласования.

Как работает DANE?

DANE работает путем публикации в DNS записи TLSA, в которой описывается ожидаемый сертификат TLS для данной службы. Когда клиент устанавливает соединение, он получает запись TLSA с помощью DNSSEC и сравнивает её с сертификатом, представленным во время установления соединения TLS.

1
Опубликовать запись TLSA - Владелец домена создаёт запись TLSA в _port._protocol.domain с ожидаемыми параметрами сертификата
2
Поиск DNS с проверкой DNSSEC — подключающийся клиент выполняет запрос с проверкой DNSSEC для получения и аутентификации записи TLSA
3
Сравнение рукопожатия TLS — представленный сертификат сравнивается с данными о привязке сертификатов в записи TLSA
4
Принять или отклонить — если сертификат соответствует, соединение устанавливается; в противном случае оно отклоняется для предотвращения злоупотреблений

Что такое запись TLSA?

Запись TLSA — это тип записи DNS, используемый протоколом DANE. В ней хранится отпечаток сертификата TLS (или полный текст сертификата) для конкретного имени DNS, привязанного к порту и протоколу, благодаря чему любой подключающийся клиент может получить и проверить его с помощью DNSSEC до завершения установления соединения TLS.

Записи TLSA следуют следующему шаблону именования:

_[port]._[protocol].[hostname] → e.g. _25._tcp.mail.example.com. IN TLSA 3 1 1 ab12cd34…

В случае SMTP запись TLSA хранится на хосте с именем MX, а не в корневом домене. Именно поэтому данный инструмент сначала автоматически определяет записи MX вашего домена, а затем проверяет TLSA на соответствующем хосте.

Обзор полей записи TLSA

Такая запись, как 3 1 1 <hash> означает DANE-EE, SubjectPublicKeyInfo, SHA-256 — наиболее часто рекомендуемая конфигурация для SMTP DANE.

Поле Ценности Значение
Использование сертификата 0 = PKIX-TA · 1 = PKIX-EE · 2 = DANE-TA · 3 = DANE-EE Какой сертификат в цепочке необходимо сопоставить и требуется ли также проверка PKIX CA
Селектор 0 = Полный сертификат · 1 = SubjectPublicKeyInfo Сопоставлять ли полный сертификат или только открытый ключ
Тип сопоставления 0 = Точный · 1 = SHA-256 · 2 = SHA-512 Как данные сертификата кодируются в записи
Данные сертификата Хеш в шестнадцатеричном формате или байты полного сертификата Отпечаток или сертификат, который необходимо сопоставить с тем, что предоставляет сервер

Распространенные проблемы при настройке DNS-сервера DANE

Большинство сбоев DANE связано с несколькими типичными ошибками настройки. Вот на что следует обратить внимание, если проверка записи DANE дала неожиданные результаты.

Проблема Причина Воздействие
Запись TLSA не найдена DANE не опубликован для этого порта/протокола или проверяется по неверному имени хоста DANE не может быть принудительно применен; подключения основываются исключительно на доверии к центру сертификации
DNSSEC не включен Записи TLSA без DNSSEC могут подвергаться подделке при передаче Клиенты DANE полностью отклоняют или игнорируют запись TLSA
Несоответствие сертификатов после обновления Сертификат TLS продлен, но запись TLSA не обновлена соответствующим образом Законные подключения отклонены; доставка почты не удалась
Недопустимое использование/Селектор/Поля сопоставления Значения полей, выходящие за пределы допустимого диапазона или не поддерживаемые в записи TLSA Проверка всегда заканчивается неудачей, даже если сертификат верный
Отсутствует запись о переносе Публикуется только одна запись TLSA во время перехода на новый сертификат Время простоя, если старая запись удаляется до того, как DNS распространит новую

Рекомендации по работе с записями DANE

Опубликовать записи TLSA о переносе
Перед продлением сертификата всегда заранее подготовьте вторую запись TLSA для будущего сертификата, чтобы избежать сбоев при доставке.
Сначала включите DNSSEC
DANE работает только при включенном DNSSEC. Публикуйте записи TLSA только после того, как убедитесь, что DNSSEC работает.
Обновите TLSA перед продлением сертификата
Добавьте новую запись TLSA в DNS до продления сертификата, чтобы распространение данных успело завершиться вовремя.
Непрерывно отслеживать записи TLSA
Автоматически выявляйте несоответствия между сертификатами и TLSA до того, как они приведут к сбоям в доставке электронной почты.

Часто задаваемые вопросы

Запись TLSA — это тип записи DNS (тип 52), используемый протоколом DANE для привязки сертификата TLS или открытого ключа к конкретному домену, порту и протоколу. В ней хранится отпечаток сертификата, защищённый протоколом DNSSEC, благодаря чему подключающиеся клиенты могут проверять сертификат во время установления соединения TLS, не прибегая к услугам центра сертификации.

DANE (DNS-Based Authentication of Named Entities) — это протокол безопасности, который публикует информацию о сертификатах TLS непосредственно в системе DNS с помощью записей TLSA, защищённых протоколом DNSSEC. Он устраняет зависимость от сторонних центров сертификации, позволяя владельцам доменов точно указывать, какому сертификату следует доверять для их сервисов.

Для доставки электронной почты по протоколу SMTP между почтовыми серверами используйте порт 25 с TCP. Запись TLSA опубликована по адресу _25._tcp.[mx-hostname]. Обратите внимание, что для электронной почты записи TLSA должны быть привязаны к имени хоста MX, а не к корневому домену. Используйте порт 443 / TCP для HTTPS.

Да, и это рекомендуется. DANE обеспечивает принудительное использование TLS с помощью сертификатов, закрепленных с помощью DNSSEC, в то время какMTA-STSобеспечивает принудительное использование TLS через политику, размещенную на HTTPS-сервере. Использование обоих подходов позволяет максимально расширить охват: DANE защищает от недобросовестных центров сертификации, а MTA-STS охватывает отправляющие серверы, которые не поддерживают DANE.

Да — DNSSEC является обязательным условием для работы DANE. Без DNSSEC любой мог бы опубликовать поддельную запись TLSA, указывающую на вредоносный сертификат, что сделало бы всю процедуру проверки бессмысленной. DNSSEC криптографически подписывает ваши записи DNS, чтобы резолверы могли убедиться, что они не были подделаны.

DANE-TA (Trust Anchor, вариант 2) сопоставляется с сертификатом промежуточного или корневого центра сертификации — любой сертификат, подписанный этим центром, пройдет проверку. DANE-EE (конечный объект, вариант 3) сопоставляется непосредственно с собственным сертификатом или открытым ключом сервера. Для SMTP в соответствии с RFC 7672 рекомендуется использовать вариант 3 с селектором 1 (открытый ключ) и типом сопоставления 1 (SHA-256).

Попробуйте другие инструменты аутентификации электронной почты

Усильте безопасность своего домена с помощью наших бесплатных инструментов поиска:

Перейдите по добавленной ссылке вручную

иконка проверки записи dmarc powerdmarc

SPF
Генератор

Перейдите по добавленной ссылке вручную

поиск записей spf запись иконка powerdmarc

Проверка записи SPF
Checker

Перейдите по добавленной ссылке вручную

иконка поиска dkim record lookup powerdmarc

DKIM
Checker

Перейдите по добавленной ссылке вручную

значок генератора бими-записи powerdmarc

BIMI
Checker

Перейдите по добавленной ссылке вручную

значок генератора записи dmarc иконка powerdmarc

DMARC
Checker

Круглосуточный мониторинг ваших записей DANE и безопасности электронной почты


PowerDMARC автоматически отслеживает ваши записи TLSA, статус DNSSEC и сертификаты TLS, оповещая вас, как только возникают сбои или истекает срок действия.


Закажите демонстрацию Начните 15-дневную пробную версию