Cómo usar este generador DANE TLSA
Paso 1: Configurar los parámetros TLSA
Selecciona los parámetros adaptados a tu infraestructura. Si dudas, usa la configuración recomendada:
Configuración recomendada para SMTP:
| Parámetro | Valor recomendado | Razón |
|---|---|---|
| Certificate Usage | DANE-EE (3) | No necesita validación PKIX |
| Selector | SPKI (1) | Sobrevive a las renovaciones |
| Matching Type | SHA-256 (1) | Compacto y seguro |
| Port | 25 | Puerto SMTP estándar |
Paso 2: Proporcionar tu certificado
Pega tu certificado TLS en formato PEM (empieza por -----BEGIN CERTIFICATE-----):
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQON...
-----END CERTIFICATE-----
¿No tienes el PEM a mano? Extráelo directamente desde tu servidor:
# Desde tu servidor de correo vía STARTTLS
openssl s_client -connect mail.captaindns.com:25 -starttls smtp 2>/dev/null | openssl x509
# Desde un archivo en el servidor
cat /etc/letsencrypt/live/mail.captaindns.com/cert.pem
Paso 3: Copiar y publicar
El generador produce un registro DNS completo. Cópialo y publícalo en tu zona DNS:
_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4d
Paso 4: Verificar el despliegue
Usa nuestro DANE TLSA Checker para confirmar que el registro está en línea y correctamente firmado con DNSSEC.
Guía de parámetros TLSA
¿No sabes qué valores elegir? Esta guía te ayuda a decidir para cada campo.
Certificate Usage: ¿qué tipo elegir?
| Usage | Nombre | Cuándo usarlo | Rotación de certificado |
|---|---|---|---|
| 0 | PKIX-TA | CA conocida + validación PKIX | Fácil (misma CA) |
| 1 | PKIX-EE | Certificado exacto + PKIX | Difícil (actualización DNS) |
| 2 | DANE-TA | CA conocida sin PKIX | Fácil (misma CA) |
| 3 | DANE-EE | Certificado exacto sin PKIX | Medio (SPKI + reutilización clave) |
Para SMTP, DANE-EE (3) es el estándar. Los servidores de correo no requieren validación PKIX, lo que simplifica el despliegue.
Selector: Cert vs SPKI
| Selector | Estabilidad | Caso de uso |
|---|---|---|
| Cert (0) | Cambia en cada renovación | Fijado estricto, gestión DNS automatizada |
| SPKI (1) | Estable si misma clave | Recomendado, especialmente con Let's Encrypt |
SPKI (1) es el recomendado para reducir la frecuencia de actualizaciones DNS.
Matching Type: Full vs Hash
| Matching | Tamaño del registro | Seguridad |
|---|---|---|
| Full (0) | Grande (puede truncar UDP) | Máxima |
| SHA-256 (1) | 64 caracteres hex | Recomendado |
| SHA-512 (2) | 128 caracteres hex | Más largo, sin beneficio real |
SHA-256 (1) es el estándar de facto. Full (0) no se recomienda: los registros DNS grandes pueden superar el límite UDP de 512 bytes y causar truncamiento.
Prerrequisito obligatorio: DNSSEC
Sin DNSSEC, los registros TLSA se ignoran. Los MTA no pueden autenticar el registro si la zona DNS no está firmada. Sigue estos pasos antes de publicar:
Verificar y activar DNSSEC
- Comprueba que tu registrar soporta DNSSEC
- Activa la firma DNSSEC en tu proveedor DNS
- Añade los registros DS en tu registrar
- Espera la propagación (generalmente 24-48 horas)
Proveedores DNS con DNSSEC
| Proveedor | DNSSEC | Notas |
|---|---|---|
| Cloudflare | Sí (automático) | Un clic en la configuración |
| AWS Route 53 | Sí | Configuración manual requerida |
| OVH | Sí | Activación desde el manager |
| Google Cloud DNS | Sí | Configuración manual |
| Gandi | Sí | Activación automática posible |
Estrategias de despliegue
¿Cómo mantener DANE sincronizado con las renovaciones de certificado? Depende de tu infraestructura.
Escenario 1: Let's Encrypt con reutilización de clave
La estrategia más sencilla si usas Certbot. El hash TLSA no cambia entre renovaciones.
# Generar con reutilización de clave
certbot certonly --reuse-key -d mail.captaindns.com
# Registro TLSA (no cambiará entre renovaciones)
3 1 1 <sha256-spki>
Ventaja: El registro TLSA no cambia nunca mientras se reutilice la clave.
Escenario 2: Let's Encrypt con DANE-TA
Fija la CA en lugar del certificado del servidor. Cero mantenimiento DNS mientras uses la misma CA.
# Fijar la CA Let's Encrypt (ISRG Root X1)
2 0 1 <sha256-del-ca-letsencrypt>
Ventaja: Ninguna actualización DNS necesaria, mientras Let's Encrypt firme tus certificados.
Escenario 3: Rotación con doble registro
Publica ambos hashes (actual + futuro) antes de la rotación. Elimina el antiguo después.
_25._tcp.mail.captaindns.com. TLSA 3 1 1 <hash-cert-actual>
_25._tcp.mail.captaindns.com. TLSA 3 1 1 <hash-cert-futuro>
Publicación DNS por proveedor
Cloudflare
- Ve a la configuración DNS de tu dominio
- Añade un registro:
- Tipo: TLSA
- Nombre:
_25._tcp.mail - Usage: 3
- Selector: 1
- Matching Type: 1
- Certificate: Tu hash SHA-256
AWS Route 53
- Abre la zona alojada
- Crea un registro:
- Nombre:
_25._tcp.mail.captaindns.com - Tipo: TLSA
- Valor:
3 1 1 <hash> - TTL: 3600
- Nombre:
OVH / Formato genérico
- Ve a la zona DNS
- Añade una entrada:
- Subdominio:
_25._tcp.mail - Tipo: TLSA
- Destino:
3 1 1 <hash> - TTL: 3600
- Subdominio:
Seguridad email completa con DANE
DANE es una pieza clave, pero no la única. Combínalo con MTA-STS y TLS-RPT para una protección completa del transporte de correo.
1. DANE (Autenticación de certificado vía DNS)
Verifica la identidad del servidor destinatario mediante DNSSEC.
- Usa este generador
- Verificar el despliegue DANE
2. MTA-STS (Aplicación TLS vía HTTPS)
Alternativa a DANE sin DNSSEC.
3. TLS-RPT (Informar los fallos)
Informa de los fallos de conexión TLS (DANE y MTA-STS).
Orden de despliegue recomendado
- DNSSEC: Activar la firma en tu dominio (prerrequisito absoluto)
- DANE: Publicar los registros TLSA con este generador
- TLS-RPT: Activar el reporting para recibir informes de fallos
- MTA-STS: Añadir como capa adicional (opcional, no requiere DNSSEC)
- Monitorización: Revisar los informes TLS-RPT regularmente
FAQ - Preguntas frecuentes
P: ¿Cómo crear un registro DANE TLSA?
R: Usa nuestro generador: selecciona el tipo de usage (DANE-EE recomendado), el selector (SPKI para estabilidad), el matching type (SHA-256), y pega tu certificado PEM. La herramienta genera el registro DNS completo listo para publicar.
P: ¿Qué certificate usage elegir para DANE?
R: Para la mayoría de despliegues SMTP, DANE-EE (3) con selector SPKI y matching SHA-256 es lo recomendado. Para facilitar la rotación de certificado, usa DANE-TA (2) con el certificado de tu CA.
P: ¿Hay que usar el certificado completo o un hash?
R: Usa siempre un hash SHA-256. Los datos completos (matching type 0) crean registros DNS muy grandes con riesgo de truncamiento UDP. SHA-256 produce una cadena compacta de 64 caracteres.
P: ¿Qué es el selector SPKI?
R: El selector SPKI (1) solo hace hash de la clave pública del certificado. El registro TLSA sigue siendo válido cuando renuevas con el mismo par de claves, a diferencia del selector Cert (0) que cambia en cada renovación.
P: ¿Cómo desplegar un registro DANE TLSA?
R: 1) Activa DNSSEC, 2) Añade el TLSA en _25._tcp.tuservidordecorreo, 3) Espera la propagación DNS, 4) Verifica con nuestro DANE TLSA Checker. El registro debe estar firmado con DNSSEC.
P: ¿Cómo gestionar las renovaciones Let's Encrypt con DANE?
R: Dos estrategias: DANE-TA (usage 2) con el certificado CA Let's Encrypt sobrevive automáticamente a las renovaciones. DANE-EE (usage 3) con selector SPKI y --reuse-key en Certbot también funciona.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| DANE TLSA Validator | Validar la sintaxis antes de publicar |
| DANE TLSA Checker | Verificar el registro tras el despliegue |
| Generador MTA-STS | Crear una política MTA-STS (seguridad TLS alternativa) |
| Generador TLS-RPT | Activar el reporting de fallos DANE |
| Auditoría dominio email | Auditoría completa de la autenticación email |
Recursos útiles
- RFC 6698 - DANE TLSA (especificación original)
- RFC 7671 - Updates to DANE (actualizaciones operacionales)
- RFC 7672 - SMTP Security via DANE (DANE para SMTP)
- Certbot - Reuse Key (reutilización de clave para DANE)
- Microsoft - DANE with DNSSEC (guía Exchange Online)