ZenovayTools

Verificador de TLSA / DANE

Verifica los registros DNS de TLSA (DANE) para tu dominio. Valida los registros DANE de _443._tcp y _25._tcp, analiza los campos de uso/selector/tipo-coincidencia y verifica que DNSSEC sea requerido para que DANE sea seguro. Obtén una evaluación completa de disponibilidad de DANE.

Cómo usar Verificador de TLSA / DANE

  1. 1Ingresa un nombre de dominio para verificar los registros DANE/TLSA.
  2. 2Se consultan los registros TLSA en _443._tcp y _25._tcp mediante DNS-over-HTTPS.
  3. 3Cada registro se analiza para los campos de uso, selector y tipo de coincidencia.
  4. 4Se evalúan el estado de DNSSEC y la disponibilidad general de DANE.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es DANE y cómo funciona?
DANE (DNS Authentication of Named Entities) es un mecanismo de seguridad que usa DNSSEC para vincular los certificados TLS a los nombres de dominio mediante registros DNS TLSA. En lugar de depender únicamente de las autoridades de certificación (CAs), DANE permite a los propietarios de dominios especificar qué certificados son válidos para su dominio directamente en DNS. Esto previene los ataques en los que una CA maliciosa emite certificados fraudulentos. DANE requiere DNSSEC: sin él, los registros TLSA pueden falsificarse y no proporcionan seguridad.
¿Qué son los registros TLSA?
Los registros TLSA son registros de recursos DNS (tipo 52) que especifican datos de asociación de certificados TLS. Se ubican en nombres como _443._tcp.example.com (HTTPS) o _25._tcp.example.com (SMTP). Cada registro contiene tres campos: Usage (cómo usar el registro), Selector (qué parte del certificado debe coincidir: el certificado completo o la clave pública) y Matching Type (cómo comparar: bytes completos, SHA-256 o SHA-512).
¿Cuál es la configuración TLSA recomendada?
La mejor práctica para la mayoría de las implementaciones es DANE-EE (uso 3) con selector SPKI (1) y coincidencia SHA-256 (1), escrito como «3 1 1». DANE-EE significa que el certificado TLS en sí es el ancla de confianza (no se necesita cadena PKIX), SPKI fija solo la clave pública (no el certificado completo) y SHA-256 es el hash estándar. Esto permite la renovación del certificado sin cambiar el registro TLSA siempre que mantenga el mismo par de claves.
¿Por qué es DNSSEC necesario para la seguridad de DANE?
Sin DNSSEC, un atacante que pueda interceptar o modificar las respuestas DNS puede reemplazar sus registros TLSA por los suyos propios. Todo el modelo de confianza de DANE se basa en DNSSEC para autenticar que los registros TLSA son genuinos y no han sido manipulados. Un registro TLSA sin validación DNSSEC es en realidad menos seguro que no tener ningún registro TLSA, porque da una falsa sensación de seguridad.
¿Cómo genero registros TLSA?
Puede generar registros TLSA a partir de su certificado o clave pública usando el comando: openssl x509 -in cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 256. Para los certificados de Let's Encrypt, use el hash del SubjectPublicKeyInfo (SPKI) para permitir la renovación automática. Herramientas como «tlsa» (de ldns-utils) y los generadores TLSA en línea pueden simplificar este proceso.