DANE/TLSA-Validator

Nach RFC 6698 + 7672

Prüft TLSA-Records der MX-Einträge, holt das Server-Zertifikat per STARTTLS und prüft, ob ein TLSA-Match besteht.

Was ist das, und wann brauche ich es?

Was ist das?

DANE/TLSA (RFC 6698) bindet ein X.509-Zertifikat an einen DNS-Namen, indem ein Hash über das Cert (oder dessen SubjectPublicKeyInfo) als DNS-Record veröffentlicht wird. Für SMTP-DANE (RFC 7672) liegt der Record unter _25._tcp.<mx-host> und erlaubt sendenden MTAs, MITM-Angriffe auf eingehende Mail zu erkennen. Dieses Werkzeug resolved die MX-Records einer Domain, probiert STARTTLS gegen jeden MX um das EE-Zertifikat zu greifen, holt die TLSA-Records via dig und prüft, ob das Cert auf einen der veröffentlichten Records matched.

Wann brauche ich das?

Vor dem ersten TLSA-Record-Roll-out, nach einer Cert-Rotation (um zu bestätigen, dass das TLSA noch passt), oder wenn ein empfangender MTA via TLS-RPT von DANE-Fehlern berichtet. Sinnvoll in Kombination mit dem MTA-STS-Validator für die redundante Policy-Schicht.

Server-Pfad: Dieses Werkzeug läuft NICHT browser-lokal. Wir holen MX- und TLSA-Records über unseren Server und öffnen eine echte SMTP-Verbindung auf Port 25 zu jedem MX-Host, um per STARTTLS das Live-Zertifikat zu greifen. Wir loggen weder Domain noch Ergebnis. Maximal 12 Anfragen pro Minute.

Probieren: · ·