Ir al contenido principal

DANE TLSA Generator

Crea registros TLSA para asegurar tus conexiones SMTP

Genera un registro DANE TLSA a partir de tu certificado TLS. Selecciona el tipo de usage, el selector y el matching type, pega tu certificado PEM y obtén un registro DNS listo para publicar.

1Servidor y certificado

El nombre del servidor MX (no el dominio de email). Es el host en el que se publicará el registro TLSA.

Fuente del certificado
Puerto 25 - DANE SMTP (RFC 7672). DANE para SMTP está normalizado exclusivamente en el puerto 25 (MTA-to-MTA con STARTTLS). El puerto es fijo y no se puede configurar.
2Parámetros TLSA

Los valores por defecto (DANE-EE, SPKI, SHA-256) son adecuados para casi todos los servidores SMTP. Modifíquelos solo si sabe lo que hace.

Usage (uso del certificado)
Selector
Matching Type

Soporte certificado PEM

Pega tu certificado en formato PEM estándar. La herramienta extrae automáticamente los datos necesarios para generar el hash TLSA.

Todos los parámetros TLSA

Para SMTP (RFC 7672), configura los usages DANE-TA (2) y DANE-EE (3), 2 selectors (Cert, SPKI) y 3 matching types (Full, SHA-256, SHA-512).

Listo para copiar y pegar

Copia con un clic al portapapeles. Incluye el nombre DNS completo (_25._tcp.hostname) y el valor del registro TLSA.

Validación integrada

El certificado PEM se valida antes de la generación. Detección de formatos inválidos, certificados expirados y claves incompatibles.

Guía de despliegue DNSSEC

Recordatorios y consejos para activar DNSSEC antes de publicar los registros TLSA. DANE no funciona sin DNSSEC.

Cómo usar este generador DANE TLSA

Paso 1: Configurar los parámetros TLSA

Selecciona los parámetros adaptados a tu infraestructura. Si dudas, usa la configuración recomendada:

Configuración recomendada para SMTP:

ParámetroValor recomendadoRazón
Certificate UsageDANE-EE (3)No necesita validación PKIX
SelectorSPKI (1)Sobrevive a las renovaciones
Matching TypeSHA-256 (1)Compacto y seguro
Port25Puerto SMTP estándar

Paso 2: Proporcionar tu certificado

Pega tu certificado TLS en formato PEM (empieza por -----BEGIN CERTIFICATE-----):

-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQON...
-----END CERTIFICATE-----

¿No tienes el PEM a mano? Extráelo directamente desde tu servidor:

# Desde tu servidor de correo vía STARTTLS
openssl s_client -connect mail.captaindns.com:25 -starttls smtp 2>/dev/null | openssl x509

# Desde un archivo en el servidor
cat /etc/letsencrypt/live/mail.captaindns.com/cert.pem

Paso 3: Copiar y publicar

El generador produce un registro DNS completo. Cópialo y publícalo en tu zona DNS:

_25._tcp.mail.captaindns.com.  IN  TLSA  3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4d

Paso 4: Verificar el despliegue

Usa nuestro DANE TLSA Checker para confirmar que el registro está en línea y correctamente firmado con DNSSEC.


Guía de parámetros TLSA

¿No sabes qué valores elegir? Esta guía te ayuda a decidir para cada campo.

Certificate Usage: ¿qué tipo elegir?

Para SMTP (RFC 7672), solo se usan DANE-TA (2) y DANE-EE (3). PKIX-TA (0) y PKIX-EE (1) existen en la RFC 6698 pero no se aplican al SMTP oportunista: los MTA se apoyan en DNSSEC, no en la validación PKIX.

UsageNombreCuándo usarloRotación de certificado
2DANE-TAFijar la CA (sin PKIX)Fácil (misma CA)
3DANE-EEFijar el certificado exacto (sin PKIX)Medio (SPKI + reutilización clave)

Por defecto, elige DANE-EE (3) con selector SPKI (1) y matching SHA-256 (1). Es la opción más sencilla y robusta. DANE-TA (2) es una opción avanzada sujeta a una restricción de cadena (consulta las estrategias de despliegue).

Selector: Cert vs SPKI

SelectorEstabilidadCaso de uso
Cert (0)Cambia en cada renovaciónFijado estricto, gestión DNS automatizada
SPKI (1)Estable si misma claveRecomendado, especialmente con Let's Encrypt

SPKI (1) es el recomendado para reducir la frecuencia de actualizaciones DNS.

Matching Type: Full vs Hash

MatchingTamaño del registroSeguridad
Full (0)Grande (puede truncar UDP)Máxima
SHA-256 (1)64 caracteres hexRecomendado
SHA-512 (2)128 caracteres hexMás largo, sin beneficio real

SHA-256 (1) es el estándar de facto. Full (0) no se recomienda: los registros DNS grandes pueden superar el límite UDP de 512 bytes y causar truncamiento.


Prerrequisito obligatorio: DNSSEC

Sin DNSSEC, los registros TLSA se ignoran. Los MTA no pueden autenticar el registro si la zona DNS no está firmada. Sigue estos pasos antes de publicar:

Verificar y activar DNSSEC

  1. Comprueba que tu registrar soporta DNSSEC
  2. Activa la firma DNSSEC en tu proveedor DNS
  3. Añade los registros DS en tu registrar
  4. Espera la propagación (generalmente 24-48 horas)

Proveedores DNS con DNSSEC

ProveedorDNSSECNotas
CloudflareSí (automático)Un clic en la configuración
AWS Route 53Configuración manual requerida
OVHActivación desde el manager
Google Cloud DNSConfiguración manual
GandiActivación automática posible

Estrategias de despliegue

¿Cómo mantener DANE sincronizado con las renovaciones de certificado? Depende de tu infraestructura.

Escenario 1: Let's Encrypt con reutilización de clave

La estrategia más sencilla si usas Certbot. El hash TLSA no cambia entre renovaciones.

# Generar con reutilización de clave
certbot certonly --reuse-key -d mail.captaindns.com

# Registro TLSA (no cambiará entre renovaciones)
3 1 1 <sha256-spki>

Ventaja: El registro TLSA no cambia nunca mientras se reutilice la clave.

Escenario 2: Let's Encrypt con DANE-TA (opción avanzada)

Con DANE-TA (usage 2), el certificado fijado - o un certificado que este haya firmado - DEBE estar presente en la cadena TLS enviada por el servidor (RFC 7671 sección 5). Pero los MTA normalmente NO envían el certificado raíz: fija el intermedio realmente servido (por ejemplo Let's Encrypt R10/R11), no la raíz ISRG Root X1.

# Fijar el intermedio realmente enviado por el servidor (p. ej. R10/R11)
2 1 1 <sha256-spki-del-intermedio>

Advertencia: si fijas una raíz (ISRG Root X1), configura el servidor para que incluya ese certificado en la cadena TLS, de lo contrario la validación DANE-TA falla. En caso de duda, prefiere DANE-EE (3) + SPKI (1), que no tiene esa restricción de cadena.

Ventaja: Ninguna actualización DNS necesaria mientras el intermedio permanezca sin cambios en la cadena.

Escenario 3: Rotación con doble registro

Publica ambos hashes (actual + futuro) antes de la rotación. Elimina el antiguo después.

_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-cert-actual>
_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-cert-futuro>

Publicación DNS por proveedor

Cloudflare

  1. Ve a la configuración DNS de tu dominio
  2. Añade un registro:
    • Tipo: TLSA
    • Nombre: _25._tcp.mail
    • Usage: 3
    • Selector: 1
    • Matching Type: 1
    • Certificate: Tu hash SHA-256

AWS Route 53

  1. Abre la zona alojada
  2. Crea un registro:
    • Nombre: _25._tcp.mail.captaindns.com
    • Tipo: TLSA
    • Valor: 3 1 1 <hash>
    • TTL: 3600

OVH / Formato genérico

  1. Ve a la zona DNS
  2. Añade una entrada:
    • Subdominio: _25._tcp.mail
    • Tipo: TLSA
    • Destino: 3 1 1 <hash>
    • TTL: 3600

Buenas prácticas y errores comunes

DANE es estricto: una configuración incorrecta bloquea la recepción del correo. Evita estos errores clásicos.

  • DNSSEC obligatorio: sin una zona firmada y validada, los resolvers ignoran el registro TLSA y DANE queda totalmente inoperativo. Es el error número uno.
  • Rotación aditiva: publica el NUEVO registro TLSA ADEMÁS del antiguo, espera la propagación DNS y la expiración del TTL, y elimina el antiguo solo después de retirar el certificado anterior. Nunca borres el antiguo antes de que el nuevo se haya propagado.
  • Publish-then-deploy: publica y deja propagar el registro TLSA ANTES de cambiar el certificado en el servidor, nunca al revés.
  • SPKI sobrevive a la renovación: con el selector SPKI (1), mientras se reutilice la misma clave, el registro sigue siendo válido tras la renovación, lo que reduce las actualizaciones DNS. El selector Cert (0) obliga a republicar en cada renovación.
  • Coincidencia con el certificado servido: el registro TLSA debe coincidir con el certificado realmente presentado por el MX. Un desajuste entre hostname y certificado provoca el fallo de la validación.

Seguridad email completa con DANE

DANE es una pieza clave, pero no la única. Combínalo con MTA-STS y TLS-RPT para una protección completa del transporte de correo.

1. DANE (Autenticación de certificado vía DNS)

Verifica la identidad del servidor destinatario mediante DNSSEC.

2. MTA-STS (Aplicación TLS vía HTTPS)

Alternativa a DANE sin DNSSEC.

3. TLS-RPT (Informar los fallos)

Informa de los fallos de conexión TLS (DANE y MTA-STS).

Orden de despliegue recomendado

  1. DNSSEC: Activar la firma en tu dominio (prerrequisito absoluto)
  2. DANE: Publicar los registros TLSA con este generador
  3. TLS-RPT: Activar el reporting para recibir informes de fallos
  4. MTA-STS: Añadir como capa adicional (opcional, no requiere DNSSEC)
  5. Monitorización: Revisar los informes TLS-RPT regularmente

FAQ - Preguntas frecuentes

P: ¿Cómo crear un registro DANE TLSA?

R: Usa nuestro generador: selecciona el tipo de usage (DANE-EE recomendado), el selector (SPKI para estabilidad), el matching type (SHA-256), y pega tu certificado PEM. La herramienta genera el registro DNS completo listo para publicar.


P: ¿Qué certificate usage elegir para DANE?

R: Para la mayoría de despliegues SMTP, DANE-EE (3) con selector SPKI y matching SHA-256 es lo recomendado. Para facilitar la rotación de certificado, usa DANE-TA (2) con el certificado de tu CA.


P: ¿Hay que usar el certificado completo o un hash?

R: Usa siempre un hash SHA-256. Los datos completos (matching type 0) crean registros DNS muy grandes con riesgo de truncamiento UDP. SHA-256 produce una cadena compacta de 64 caracteres.


P: ¿Qué es el selector SPKI?

R: El selector SPKI (1) solo hace hash de la clave pública del certificado. El registro TLSA sigue siendo válido cuando renuevas con el mismo par de claves, a diferencia del selector Cert (0) que cambia en cada renovación.


P: ¿Cómo desplegar un registro DANE TLSA?

R: 1) Activa DNSSEC, 2) Añade el TLSA en _25._tcp.tuservidordecorreo, 3) Espera la propagación DNS, 4) Verifica con nuestro DANE TLSA Checker. El registro debe estar firmado con DNSSEC.


P: ¿Cómo gestionar las renovaciones Let's Encrypt con DANE?

R: Dos estrategias: DANE-TA (usage 2) con el certificado CA Let's Encrypt sobrevive automáticamente a las renovaciones. DANE-EE (usage 3) con selector SPKI y --reuse-key en Certbot también funciona.


Herramientas complementarias

HerramientaUtilidad
DANE TLSA ValidatorValidar la sintaxis antes de publicar
DANE TLSA CheckerVerificar el registro tras el despliegue
Generador MTA-STSCrear una política MTA-STS (seguridad TLS alternativa)
Generador TLS-RPTActivar el reporting de fallos DANE
Hosting MTA-STSAgrega MTA-STS como respaldo con políticas alojadas gratis
Auditoría dominio emailAuditoría completa de la autenticación email

Recursos útiles