Vérificateur TLSA / DANE
Vérifiez les enregistrements DNS TLSA (DANE) pour votre domaine. Valide les enregistrements DANE _443._tcp et _25._tcp, analyse les champs usage/selector/matching-type et vérifie que DNSSEC est nécessaire pour que DANE soit sécurisé. Obtenez une évaluation complète de la préparation DANE.
Comment utiliser Vérificateur TLSA / DANE
- 1Entrez un nom de domaine pour vérifier les enregistrements DANE/TLSA.
- 2Les enregistrements TLSA à _443._tcp et _25._tcp sont interrogés via DNS-over-HTTPS.
- 3Chaque enregistrement est analysé pour les champs usage, selector et matching type.
- 4L'état DNSSEC et la préparation globale de DANE sont évalués.
ZenovayAnalytics
Voyez qui est sur votre site en ce moment.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Qu'est-ce que DANE et comment fonctionne-t-il ?▾
DANE (DNS Authentication of Named Entities) est un mécanisme de sécurité qui utilise DNSSEC pour lier les certificats TLS aux noms de domaine via des enregistrements DNS TLSA. Au lieu de se fier uniquement aux autorités de certification (AC), DANE permet aux propriétaires de domaine de spécifier quels certificats sont valides pour leur domaine directement dans DNS. DANE nécessite DNSSEC — sans lui, les enregistrements TLSA peuvent être usurpés.
Que sont les enregistrements TLSA ?▾
Les enregistrements TLSA sont des enregistrements de ressources DNS (type 52) qui spécifient les données d'association de certificat TLS. Ils sont placés à des noms comme _443._tcp.exemple.com (HTTPS) ou _25._tcp.exemple.com (SMTP). Chaque enregistrement contient trois champs : Usage, Selector et Matching Type.
Quelle est la configuration TLSA recommandée ?▾
La meilleure pratique pour la plupart des déploiements est DANE-EE (usage 3) avec sélecteur SPKI (1) et correspondance SHA-256 (1) — écrit « 3 1 1 ». DANE-EE signifie que le certificat TLS lui-même est l'ancre de confiance, SPKI ancre uniquement la clé publique, et SHA-256 est le hachage standard. Cela permet le renouvellement du certificat sans changer l'enregistrement TLSA tant que vous conservez la même paire de clés.
Pourquoi DNSSEC est-il requis pour la sécurité DANE ?▾
Sans DNSSEC, un attaquant qui peut intercepter ou modifier les réponses DNS peut remplacer vos enregistrements TLSA par les siens. Tout le modèle de confiance de DANE repose sur DNSSEC pour authentifier que les enregistrements TLSA sont authentiques. Un enregistrement TLSA sans validation DNSSEC est en fait moins sécurisé que pas de TLSA du tout.
Comment générer des enregistrements TLSA ?▾
Vous pouvez générer des enregistrements TLSA depuis votre certificat ou clé publique en utilisant la commande : openssl x509 -in cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 256. Des outils comme « tlsa » (de ldns-utils) et les générateurs TLSA en ligne peuvent simplifier ce processus.