TLSA Record Generator

Generer DANE TLSA DNS-records fra din mailservers live certifikat

Vælg metode

Auto-detect fra domæne (MX) Indtast manuelt

Domæne

MX-records vil automatisk blive detekteret

Vælg porte

25 - SMTP 465 - SMTPS 587 - Submission 993 - IMAPS 995 - POP3S

Vælg hvilke porte der skal genereres TLSA records for

Hostname

Port

Om TLSA Records og DANE

DANE (DNS-based Authentication of Named Entities) bruger TLSA DNS-records til at binde TLS-certifikater til domænenavne via DNSSEC.

Anbefalet record type: 3 1 1 (DANE-EE, SPKI, SHA-256) - matcher certifikatets public key med SHA-256 hash.

Vigtigt: DANE kræver DNSSEC for at være sikker. Uden DNSSEC kan TLSA records ikke valideres pålideligt.

Hvad er DANE og TLSA?

DANE giver dig mulighed for at publicere dit TLS-certifikat i DNS, så afsendere kan verificere at de kommunikerer med den rigtige server.

DANE

DNS-based Authentication of Named Entities er en protokol der bruger DNSSEC til at binde TLS-certifikater til domænenavne. I stedet for kun at stole på certificate authorities, kan servere verificere certifikater direkte via DNS.

TLSA Records

Transport Layer Security Authentication records er DNS-poster der indeholder information om dit TLS-certifikat. De publiceres som _port._protocol.hostname og verificeres af afsendende servere.

Sådan fungerer DANE

Du genererer en TLSA record fra dit certifikat

TLSA record publiceres i din DNS zone

Afsender slår TLSA record op via DNSSEC

Certifikatet verificeres mod TLSA hashen

TLSA Record Format

Forstå de fire felter i en TLSA record

_25._tcp.mail.example.dk. IN TLSA 3 1 1 a4b7c8...

Usage (3)

0 - PKIX-TA: CA constraint
1 - PKIX-EE: Service certificate constraint
2 - DANE-TA: Trust anchor assertion
3 - DANE-EE: Domain-issued certificate (anbefalet)

Selector (1)

0 - Full certificate
1 - SubjectPublicKeyInfo (anbefalet)

Selector 1 gør det nemmere at forny certifikater uden at opdatere TLSA, så længe public key forbliver den samme.

Matching Type (1)

0 - No hash (exact match)
1 - SHA-256 hash (anbefalet)
2 - SHA-512 hash

Certificate Data

Hexadecimal hash af certifikatet eller public key, afhængigt af selector og matching type. Genereres automatisk af vores værktøj.

Anbefaling: Brug 3 1 1

For de fleste mailservere anbefales 3 1 1 (DANE-EE, SPKI, SHA-256). Dette giver den bedste balance mellem sikkerhed og vedligeholdelse, da du kan forny certifikater uden at opdatere TLSA records, så længe du beholder samme nøgle.

Hvorfor bruge DANE til email?

Fordelene ved at implementere DANE på din mailserver

Beskyt mod MITM-angreb

DANE forhindrer man-in-the-middle angreb ved at verificere certifikatet via DNS, selv hvis en CA er kompromitteret.

Uafhængig af CA'er

Du behøver ikke stole på eksterne certificate authorities. Du kan endda bruge self-signed certifikater med DANE.

Tvinger kryptering

Når DANE er aktiveret, vil afsendende servere afvise forbindelsen hvis certifikatet ikke matcher, hvilket sikrer kryptering.

Krav til DANE

Hvad du skal have på plads før du implementerer DANE

DNSSEC på dit domæne

DANE kræver DNSSEC for at være sikkert. Uden DNSSEC kan TLSA records forfalskes. Tjek om dit domæne har DNSSEC med vores DNS Scanner.

STARTTLS på din mailserver

Din mailserver skal understøtte STARTTLS. De fleste moderne mailservere har dette aktiveret som standard.

Gyldigt TLS-certifikat

Du skal have et TLS-certifikat installeret. Med DANE-EE (usage 3) kan du bruge self-signed certifikater, men CA-signerede certifikater anbefales for kompatibilitet.

Adgang til DNS-administration

Du skal kunne oprette TLSA records i din DNS zone. Nogle DNS-udbydere understøtter ikke TLSA records direkte - tjek med din udbyder.

Ofte stillede spørgsmål

Hvad sker der hvis mit certifikat udløber?

Hvis dit certifikat udløber og du har DANE aktiveret, vil afsendende servere der validerer DANE afvise at levere email til dig. Sørg for at forny dit certifikat og opdatere TLSA records i god tid. Med selector 1 (SPKI) behøver du kun opdatere TLSA hvis du skifter nøgle.

Kan jeg bruge Let's Encrypt med DANE?

Ja! Let's Encrypt fungerer fint med DANE. Brug selector 1 (SPKI) og sørg for at genbruge din private nøgle ved fornyelse. Så behøver du ikke opdatere TLSA records hver gang certifikatet fornyes automatisk.

Hvad er forskellen på DANE og MTA-STS?

Begge protokoller sikrer email-transport, men på forskellige måder. DANE bruger DNSSEC og verificerer certifikatet via TLSA records. MTA-STS bruger HTTPS og en policy-fil. DANE er stærkere sikkerhedsmæssigt, men kræver DNSSEC. MTA-STS er nemmere at implementere og virker uden DNSSEC.

Understøtter alle mailservere DANE?

Nej, ikke alle mailservere validerer DANE. Postfix, Exim, og flere andre understøtter det, men Gmail og Microsoft 365 validerer endnu ikke DANE for indgående mail (de sender dog til DANE-beskyttede servere). Selv med delvis adoption giver DANE beskyttelse mod angreb fra de afsendere der understøtter det.

Hvordan tester jeg om min DANE setup virker?

Brug vores Email Sikkerhedstest til at verificere at dine TLSA records er publiceret og matcher dit certifikat. Vi tjekker automatisk DANE/TLSA for alle dine MX-servere.

Sikr din email med DANE

Brug vores gratis værktøjer til at generere TLSA records og teste din email-sikkerhed

Generer TLSA Records Test Email Sikkerhed