Was ist TLSA bzw. DANE?
TLSA DNS-Einträge dienen dazu, die Authentizität von TLS/SSL-Zertifikaten überprüfbar zu machen und damit die Sicherheit der Kommunikation zu erhöhen.
Dazu wird ein Fingerabdruck eines TLS-/SSL-Zertifikats im DNS der Domain gespeichert.
Damit TLSA vertrauenswürdig ist, muss DNSSec aktiv sein. Dann entspricht dies den DANE (DNS-Based Authentication of Named Entities) Vorgaben für sichere Kommunikation
Unsere Mailserver sind mit TLSA gesichert und benutzen folgende Angaben:
- DANE-EE: Domain Issued Certificate
- Subject public key
- SHA-256-Hash
Beispiel:
_25._tcp.mail IN TLSA 3 1 1 3f7af589fbf8189569861626f88c1ff5628d383d80fdf290b192380309495b1f
- Portnummer, auf der der TLS-Server angesprochen werden, z.B. Port 25
- Verwendende Protokoll wie TCP, UDP oder andere
- Hostname (Domainname) des TLS-Servers
- Drei mit Leerzeichen getrennte Zahlen:
- TLSA Certificate Usage: Zahl zwischen 0 und 3
Certificate Usage sagt dem Client, ob eine Trust-Chain-Prüfung erfolgen soll oder nicht. Ist die Trust-Chain-Prüfung abgeschaltet, lassen sich selbst signierte Zertifikate einsetzen.
- TLSA Selector: Zahl 0 oder 1
Selector gibt Auskunft darüber, ob das gesamte Zertifikat gehashed wurde oder nur der Public Key.
- TLSA Matching Type: Zahl zwischen 0 und 2
Matching Type legt festgelegt ob kein Hash, ein SHA-256- oder ein SHA-512-Hash verwendet wird. - Der Hashwert selber
