Vérificateur d'enregistrements DANE/TLSA

Interroge plusieurs résolveurs DNS publics sur les enregistrements TLSA publiés par les serveurs de messagerie (hôtes MX) d'un domaine afin de vérifier si DANE est configuré.

Astuces

  • Les enregistrements TLSA ne se trouvent pas sous le nom de domaine ordinaire, mais sous un nom spécial, `_25._tcp.{hôte MX}`. C'est pourquoi chercher TLSA directement sur le domaine ne trouve jamais rien.
  • « DANE non configuré » n'est pas une erreur. DANE est une couche de défense supplémentaire pour le chiffrement des e-mails, et la plupart des serveurs de messagerie ne l'utilisent pas encore.
  • DANE n'est fiable que si l'enregistrement TLSA du domaine lui-même est protégé par la chaîne de signatures DNSSEC. Même si un enregistrement TLSA est trouvé, utilisez aussi l'outil complémentaire « Vérificateur DNSSEC » pour confirmer que le domaine a bien DNSSEC activé.
  • Lorsqu'un domaine possède plusieurs hôtes MX, cet outil vérifie jusqu'à 3 hôtes, en commençant par le numéro de priorité le plus bas (priorité la plus élevée).
  • Si les résolveurs ne sont pas d'accord, l'enregistrement vient peut-être d'être mis à jour et les caches ne sont pas encore synchronisés. Patientez puis vérifiez à nouveau.

Questions fréquentes

« DANE non configuré » n'est pas dangereux en soi : la grande majorité des serveurs de messagerie fonctionnent encore sans lui. Cela dit, l'activer vaut la peine d'être envisagé comme défense contre les attaques de l'homme du milieu sur STARTTLS, si l'option est disponible.

Les deux visent à imposer le chiffrement TLS pour le transport des e-mails, mais leur confiance repose sur des bases différentes : MTA-STS s'appuie sur la chaîne de validation d'une autorité de certification, tandis que DANE s'appuie sur la chaîne de signatures DNSSEC. Si DNSSEC est déjà activé, DANE s'impose naturellement ; sinon, MTA-STS constitue un point de départ plus pratique. Les deux peuvent aussi être combinés.

Usage précise le modèle de validation (si une validation par une AC reste requise ou si le certificat lui-même est directement épinglé), Selector précise si le hachage porte sur le certificat entier ou seulement sur la clé publique, et Matching Type précise l'algorithme de hachage (SHA-256, SHA-512, etc.). Différentes combinaisons conviennent à différents modes d'exploitation.

Pour une protection complète, chaque hôte MX susceptible d'être choisi comme destination de livraison devrait avoir un enregistrement TLSA. Si seuls certains hôtes en possèdent un, les e-mails livrés à un hôte sans enregistrement ne sont pas protégés.

Cet outil ne vérifie qu'un état superficiel : si un enregistrement TLSA est publié. Il ne vérifie pas si les données d'association du certificat correspondent réellement au certificat du serveur ; associez-le à un outil spécialisé si une vérification rigoureuse est nécessaire.
ツールくん

Anecdote — Protéger le chiffrement des e-mails par des certificats, pas seulement en évitant l'écoute

Le chiffrement des e-mails via SMTP (STARTTLS) présente depuis longtemps une faiblesse. La plupart des serveurs de messagerie utilisent le TLS opportuniste : si l'autre partie ne prend pas en charge le chiffrement, la connexion retombe en clair. Cela a ouvert la voie aux « attaques STRIPTLS », où un attaquant de type homme du milieu retire discrètement la commande STARTTLS, si bien que la connexion se dégrade en clair sans qu'aucune des deux parties ne s'en aperçoive.

DANE (DNS-based Authentication of Named Entities, RFC 6698) répond à ce problème en publiant des enregistrements TLSA dans le DNS. En fixant à l'avance dans le DNS le certificat d'un serveur de messagerie (ou le hachage de sa clé publique), le serveur expéditeur peut vérifier que l'hôte auquel il se connecte présente réellement le certificat attendu. Contrairement à la validation habituelle des certificats SSL/TLS, DANE ne repose absolument pas sur la chaîne de confiance d'une autorité de certification : seule la chaîne de signatures DNSSEC fait foi.

La faiblesse de DANE est qu'il ne fonctionne que si le domaine lui-même est signé avec DNSSEC. Sans DNSSEC, rien n'empêche que l'enregistrement TLSA soit altéré en transit, ce qui rend la garantie de DANE dénuée de sens. C'est pourquoi l'adoption de DANE suit de près celle de DNSSEC, et elle a progressé plus tôt chez certains registres européens (comme .nl et .cz).