Comprobador de registros DANE/TLSA
Consulta los registros TLSA publicados por los servidores de correo (hosts MX) de un dominio en varios resolutores DNS públicos para comprobar si DANE está configurado.
Consejos
- Los registros TLSA no se publican bajo el nombre de dominio normal, sino bajo un nombre especial, `_25._tcp.{host MX}`. Por eso buscar TLSA en el dominio sin más nunca encuentra nada.
- "DANE no configurado" no es un error. DANE es una capa adicional de defensa para el cifrado del correo, y la mayoría de los servidores de correo todavía no lo usan.
- DANE solo es fiable si el propio registro TLSA del dominio está protegido por la cadena de firmas de DNSSEC. Aunque se encuentre un registro TLSA, conviene usar también la herramienta hermana "Comprobador DNSSEC" para confirmar que el dominio tiene DNSSEC habilitado.
- Cuando un dominio tiene varios hosts MX, esta herramienta comprueba hasta 3 hosts, empezando por el de menor número de preferencia (mayor prioridad).
- Si los resolutores no coinciden, es posible que el registro se haya actualizado recientemente y las cachés aún no se hayan sincronizado. Espera un poco y vuelve a comprobarlo.
Preguntas frecuentes
A propósito — Proteger el cifrado del correo con certificados, no solo con "que no lo intercepten"
El cifrado del correo mediante SMTP (STARTTLS) ha tenido durante mucho tiempo una debilidad. La mayoría de los servidores de correo usan TLS oportunista: si la otra parte no admite cifrado, la conexión cae de vuelta a texto plano. Esto abrió la puerta a los "ataques STRIPTLS", en los que un atacante de tipo hombre en el medio elimina silenciosamente el comando STARTTLS para que la conexión se degrade a texto plano sin que ninguna de las partes lo note.
DANE (DNS-based Authentication of Named Entities, RFC 6698) responde a esto publicando registros TLSA en el DNS. Al fijar de antemano en el DNS el certificado de un servidor de correo (o el hash de su clave pública), el servidor remitente puede verificar que el host al que se conecta presenta realmente el certificado esperado. A diferencia de la validación habitual de certificados SSL/TLS, DANE no depende en absoluto de la cadena de confianza de una autoridad de certificación: solo confía en la cadena de firmas de DNSSEC.
La debilidad de DANE es que solo funciona si el propio dominio está firmado con DNSSEC. Sin DNSSEC, nada impide que el registro TLSA sea manipulado en tránsito, lo que hace que la garantía de DANE carezca de sentido. Por eso la adopción de DANE sigue de cerca la de DNSSEC, y ha tenido una adopción más temprana en algunos registros europeos (como .nl y .cz).