DANE/TLSA Check
DANE/TLSA-Records prüfen: DNSSEC-Status, HTTPS- und Mail-TLSA-Einträge validieren.
Methodik & Funktionsweise
Was wird geprueft?
Prüft, ob eine Domain DANE (DNS-Based Authentication of Named Entities) für die Absicherung von E-Mail-Transport einsetzt.
Wie funktioniert es?
Abfrage der TLSA-DNS-Records und Prüfung auf DNSSEC-Signierung. DANE erfordert DNSSEC, da die TLSA-Records sonst nicht vertrauenswürdig sind.
Beispiel-Ergebnis
example.com → TLSA-Record: 3 1 1 abc123..., DNSSEC: aktiv, DANE-Status: gültig
Was ist DANE/TLSA?
DANE (DNS-Based Authentication of Named Entities) ist ein Sicherheitsprotokoll, das TLS-Zertifikate über signierte DNS-Records (TLSA) verifiziert. Im Gegensatz zum herkömmlichen CA-System, bei dem jede Zertifizierungsstelle Zertifikate für jede Domain ausstellen kann, bindet DANE das Zertifikat direkt an die DNS-Zone. DANE erfordert DNSSEC, da die TLSA-Records ohne kryptographische DNS-Signierung nicht vertrauenswürdig wären. Besonders im E-Mail-Bereich (SMTP) verbessert DANE die Sicherheit der Transportverschlüsselung erheblich.
DANE implementieren
- 1DNSSEC muss aktiviert sein, bevor DANE funktioniert.
- 2Verwenden Sie TLSA-Usage 3 (DANE-EE) für die einfachste Konfiguration.
- 3Aktualisieren Sie den TLSA-Record vor jedem Zertifikatswechsel.
- 4DANE für SMTP (Port 25) schützt E-Mail-Transport vor Man-in-the-Middle-Angriffen.