ZenovayTools

TLSA / DANE Checker

Prüfen Sie TLSA (DANE) DNS-Einträge für Ihre Domain. Validiert _443._tcp und _25._tcp DANE-Einträge, analysiert usage/selector/matching-type-Felder und verifiziert, dass DNSSEC für DANE-Sicherheit erforderlich ist. Erhalten Sie eine vollständige DANE-Readiness-Bewertung.

So verwenden Sie TLSA / DANE Checker

  1. 1Geben Sie einen Domain-Namen ein, um DANE/TLSA-Einträge zu überprüfen.
  2. 2TLSA-Einträge bei _443._tcp und _25._tcp werden über DNS-over-HTTPS abgefragt.
  3. 3Jeder Datensatz wird für usage, selector und matching type-Felder analysiert.
  4. 4DNSSEC-Status und allgemeine DANE-Bereitschaft werden bewertet.
ZenovayAnalytics

Sehen Sie, wer gerade auf Ihrer Seite ist.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was ist DANE und wie funktioniert es?
DANE (DNS Authentication of Named Entities) ist ein Sicherheitsmechanismus, der DNSSEC verwendet, um TLS-Zertifikate über TLSA-DNS-Einträge an Domainnamen zu binden. Anstatt sich ausschliesslich auf Zertifizierungsstellen (CAs) zu verlassen, können Domaineigentuemer mit DANE direkt in DNS angeben, welche Zertifikate für ihre Domain gueltig sind. Dies verhindert Angriffe, bei denen eine unredliche CA betruezerische Zertifikate ausstellt. DANE erfordert DNSSEC - ohne es können TLSA-Einträge gefälscht werden und bieten keine Sicherheit.
Was sind TLSA-Einträge?
TLSA-Einträge sind DNS-Ressource-Records (Typ 52), die TLS-Zertifikat-Assoziationsdaten angeben. Sie werden unter Namen wie _443._tcp.example.com (HTTPS) oder _25._tcp.example.com (SMTP) abgelegt. Jeder Eintrag enthaelt drei Felder: Usage (wie der Eintrag verwendet wird), Selector (welcher Teil des Zertifikats abgeglichen wird - vollständiges Zertifikat oder öffentlicher Schlüssel) und Matching Type (wie verglichen wird - vollständige Bytes, SHA-256 oder SHA-512).
Was ist die empfohlene TLSA-Konfiguration?
Die Best Practice für die meisten Deployments ist DANE-EE (Usage 3) mit SPKI-Selector (1) und SHA-256-Matching (1) - geschrieben als '3 1 1'. DANE-EE bedeutet, das TLS-Zertifikat selbst ist der Vertrauensanker (keine PKIX-Kette erforderlich), SPKI pinnt nur den öffentlichen Schlüssel (nicht das gesamte Zertifikat) und SHA-256 ist der Standard-Hash. Dies ermöglicht die Zertifikatserneuerung ohne Änderung des TLSA-Eintrags, solange Sie dasselbe Schlüssel-Paar beibehalten.
Warum ist DNSSEC für die DANE-Sicherheit erforderlich?
Ohne DNSSEC kann ein Angreifer, der DNS-Antworten abfangen oder verändern kann, Ihre TLSA-Einträge durch eigene ersetzen. Das gesamte Vertrauensmodell von DANE haengt davon ab, dass DNSSEC die Authentizitaet der TLSA-Einträge bestaetigt. Ein TLSA-Eintrag ohne DNSSEC-Validierung ist tatsächlich weniger sicher als kein TLSA-Eintrag, da er ein falsches Sicherheitsgefuehl vermittelt.
Wie generiere ich TLSA-Einträge?
Sie können TLSA-Einträge aus Ihrem Zertifikat oder öffentlichen Schlüssel generieren mit: openssl x509 -in cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 256. Für Let's Encrypt-Zertifikate verwenden Sie den Hash des SubjectPublicKeyInfo (SPKI), um automatische Erneuerung zu ermöglichen. Tools wie 'tlsa' (aus ldns-utils) und Online-TLSA-Generatoren können diesen Prozess vereinfachen.