TLSA / DANEチェッカー
ドメインのTLSA(DANE)DNSレコードを確認します。_443._tcpおよび_25._tcp DANEレコードを検証し、usage/selector/matching-typeフィールドを解析し、DANEをセキュアにするためにDNSSECが必須であることを確認します。完全なDANE準備状況アセスメントを取得します。
TLSA / DANEチェッカーの使い方
- 1DANEレコード/TLSAレコードを確認するドメイン名を入力します。
- 2_443._tcpおよび_25._tcp のTLSAレコードはDNS-over-HTTPSを介してクエリされます。
- 3各レコードはusage、selector、およびmatching typeフィールドについて解析されます。
- 4DNSSECステータスと全体的なDANE準備状況が評価されます。
Zenovayアナリティクス
関連ツール
よくある質問
DANE とは何で、どのように機能しますか?▾
DANE (DNS Authentication of Named Entities) は、DNSSEC を使用して TLSA DNS レコード経由で TLS 証明書をドメイン名にバインドするセキュリティ メカニズムです。認証局 (CA) のみに依存する代わりに、DANE はドメイン所有者が DNS で直接ドメインに有効な証明書を指定できます。これにより、不正な CA が不正な証明書を発行する攻撃を防ぎます。DANE は DNSSEC を必要とします。DNSSEC がないと、TLSA レコードはスプーフィング可能であり、セキュリティを提供しません。
TLSA レコードとは何ですか?▾
TLSA レコードは DNS リソース レコード (タイプ 52) で、TLS 証明書関連データを指定します。_443._tcp.example.com (HTTPS) や _25._tcp.example.com (SMTP) などの名前に配置されます。各レコードには 3 つのフィールドが含まれます: Usage (レコードの使用方法)、Selector (マッチするドメインの部分 - 完全な証明書または公開鍵)、および Matching Type (比較方法 - 完全なバイト、SHA-256、または SHA-512)。
推奨される TLSA 構成は何ですか?▾
ほとんどのデプロイメントのベストプラクティスは、SPKI セレクター (1) および SHA-256 マッチング (1) を備えた DANE-EE (使用法 3) です。"3 1 1" と表記されます。DANE-EE は TLS 証明書自体が信頼アンカーです (PKIX チェーンは不要)、SPKI は公開鍵 (完全な証明書ではなく) をピンします、SHA-256 は標準ハッシュです。同じ鍵ペアを保持している限り、TLSA レコードを変更することなく証明書を更新できます。
DANE セキュリティには DNSSEC が必要なのはなぜですか?▾
DNSSEC がないと、DNS レスポンスをインターセプトまたは変更できる攻撃者は、TLSA レコードを自分たちのものに置き換えることができます。DANE の信頼モデル全体は、DNSSEC に依存して TLSA レコードが真正であり、改ざんされていないことを認証します。DNSSEC 検証なしの TLSA レコードは、実は TLSA レコードがまったくない場合より安全ではなく、虚偽のセキュリティ感覚を与えるためです。
TLSA レコードを生成するにはどうすればよいですか?▾
次のコマンドを使用して、証明書または公開鍵から TLSA レコードを生成できます: openssl x509 -in cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 256。Let's Encrypt 証明書の場合、自動更新を許可するために SubjectPublicKeyInfo (SPKI) のハッシュを使用します。"tlsa" (ldns-utils から) などのツールとオンライン TLSA ジェネレーターがこのプロセスを簡素化できます。