ZenovayTools

Verificador TLSA / DANE

Verifique registros DNS TLSA (DANE) do seu domínio. Valida registros DANE de _443._tcp e _25._tcp, analisa campos de uso/seletor/tipo de correspondência e verifica se DNSSEC é necessário para que DANE seja seguro. Obtenha uma avaliação completa de prontidão DANE.

Como Usar Verificador TLSA / DANE

  1. 1Digite um nome de domínio para verificar registros DANE/TLSA.
  2. 2Os registros TLSA em _443._tcp e _25._tcp são consultados via DNS-over-HTTPS.
  3. 3Cada registro é analisado quanto aos campos de uso, seletor e tipo de correspondência.
  4. 4O status DNSSEC e a prontidão geral de DANE são avaliados.
ZenovayAnalytics

Veja quem está no seu site agora mesmo.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é DANE e como funciona?
DANE (DNS Authentication of Named Entities) é um mecanismo de segurança que usa DNSSEC para vincular certificados TLS a nomes de domínio via registros DNS TLSA. Em vez de depender apenas de autoridades certificadoras (CAs), o DANE permite que os proprietários de domínio especifiquem quais certificados são válidos para seus serviços.
O que são registros TLSA?
Registros TLSA são registros de recursos DNS (tipo 52) que especificam dados de associação de certificado TLS. Eles são colocados em nomes como _443._tcp.example.com (HTTPS) ou _25._tcp.example.com (SMTP). Cada registro contém três campos: Usage (como usar o registro), Selector (qual parte do certificado usar) e Matching Type (como comparar).
Qual é a configuração TLSA recomendada?
A melhor prática para a maioria das implantações é DANE-EE (usage 3) com seletor SPKI (1) e correspondência SHA-256 (1) — escrito como "3 1 1". DANE-EE significa que o próprio certificado TLS é a âncora de confiança, SPKI pins apenas a chave pública (não o certificado completo) e SHA-256 é amplamente suportado.
Por que o DNSSEC é necessário para a segurança do DANE?
Sem DNSSEC, um atacante que possa interceptar ou modificar respostas DNS pode substituir seus registros TLSA pelos seus. Todo o modelo de confiança do DANE depende do DNSSEC para autenticar que os registros TLSA são genuínos e não foram adulterados. Um registro TLSA sem validação DNSSEC não oferece benefícios de segurança.
Como gero registros TLSA?
Você pode gerar registros TLSA a partir do seu certificado ou chave pública usando o comando: openssl x509 -in cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 256. Para certificados Let's Encrypt, use o hash do SubjectPublicKeyInfo do certificado final.