Quels matching types sont supportés dans les enregistrements TLSA ?

Trois matching types existent : certificat complet (0) stocke les données complètes, SHA-256 (1) stocke un hash SHA-256, SHA-512 (2) stocke un hash SHA-512. SHA-256 (1) est recommandé pour la plupart des déploiements.

Comment corriger une syntaxe TLSA invalide ?

Corrections courantes : vérifier que les données hex ne contiennent que des caractères valides (0-9, a-f), que les valeurs usage/selector/matching type sont dans les plages autorisées, et que la longueur des données correspond au matching type (64 caractères hex pour SHA-256, 128 pour SHA-512).

DANE TLSA Validator Gratuit | Vérifier la Syntaxe TLSA en Ligne

Qu'est-ce que DANE TLSA et pourquoi valider la syntaxe ?

Un enregistrement TLSA invalide est ignoré sans avertissement. Votre domaine perd sa protection DANE sans que vous le sachiez.

DANE (RFC 6698) lie les certificats TLS aux noms DNS via DNSSEC. RFC 7671 renforce ses règles opérationnelles. Ensemble, ces standards éliminent la dépendance aux autorités de certification pour l'authentification SMTP.

Pourquoi valider avant publication :

Un TLSA syntaxiquement incorrect est silencieusement ignoré par les MTA
Une mauvaise valeur d'usage affaiblit la sécurité au lieu de la renforcer
Des données hexadécimales malformées rendent l'enregistrement inutilisable
Une combinaison usage/selector/matching type incohérente bloque la livraison email

Validez systématiquement vos enregistrements avant publication DNS.

Format d'enregistrement TLSA expliqué

Structure de base

_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af...

Champ	Valeurs	Description
Certificate Usage	0-3	Type de contrainte de certificat
Selector	0-1	Partie du certificat à matcher
Matching Type	0-2	Méthode de comparaison
Certificate Data	Hex	Données de certificat ou hash

Certificate Usage (champ 1)

Valeur	Nom	Description
0	PKIX-TA	Contrainte CA : le certificat doit être signé par cette CA ET validé PKIX
1	PKIX-EE	Contrainte certificat : match exact du certificat serveur + validation PKIX
2	DANE-TA	Ancrage de confiance : accepte tout certificat signé par cette CA
3	DANE-EE	Certificat domaine : match exact du certificat serveur, pas de validation PKIX

Recommandation : DANE-EE (3) domine les déploiements SMTP. Il dispense de la validation PKIX, simplifiant la chaîne de confiance.

Selector (champ 2)

Valeur	Nom	Description
0	Cert	Certificat complet (DER)
1	SPKI	Clé publique uniquement (Subject Public Key Info)

Recommandation : Utilisez SPKI (1). L'enregistrement TLSA survit au renouvellement de certificat tant que la clé privée reste identique.

Matching Type (champ 3)

Valeur	Nom	Longueur hex
0	Full	Variable (certificat complet)
1	SHA-256	64 caractères
2	SHA-512	128 caractères

Recommandation : SHA-256 (1) offre le meilleur compromis taille/sécurité. SHA-512 n'apporte aucun bénéfice pratique pour DANE.

Erreurs de syntaxe courantes

Valeur d'usage hors plage

# Incorrect : usage 4 n'existe pas
3 1 1 2bb183af... → usage doit être 0-3

# Correct : DANE-EE (3)
3 1 1 2bb183af...

Données hex invalides

# Incorrect : caractères non-hex (G, Z)
3 1 1 2bg183zf...

# Correct : uniquement 0-9, a-f
3 1 1 2bb183af...

Longueur de hash incorrecte

# Incorrect : SHA-256 doit faire 64 caractères hex
3 1 1 2bb183

# Correct : hash SHA-256 complet (64 car.)
3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4

Combinaison usage/selector incohérente

# Attention : DANE-EE (3) + Cert (0) change à chaque renouvellement
3 0 1 ...

# Recommandé : DANE-EE (3) + SPKI (1) survit aux renouvellements
3 1 1 ...

Configuration DANE pour SMTP

Déployer DANE exige cinq étapes. Chaque étape est un prérequis pour la suivante.

Étape 1 : Activer DNSSEC

Sans DNSSEC, les MTA ignorent tous les enregistrements TLSA. Activez DNSSEC chez votre registrar et votre hébergeur DNS avant toute autre action.

Étape 2 : Générer l'enregistrement TLSA

Créez votre enregistrement avec notre Générateur DANE TLSA. Choisissez DANE-EE (3), SPKI (1), SHA-256 (1) pour la configuration standard.

Étape 3 : Valider la syntaxe

Collez l'enregistrement dans ce validateur. Corrigez toute erreur signalée avant de publier en DNS.

Étape 4 : Publier dans le DNS

Ajoutez le TLSA à l'emplacement exact : _25._tcp.<votre-serveur-mx>. Attention : utilisez le hostname MX, pas le domaine racine.

Étape 5 : Vérifier le déploiement

Lancez une vérification avec notre DANE TLSA Checker. Confirmez que l'enregistrement est résolu et signé DNSSEC.

DANE vs MTA-STS : deux approches de sécurité TLS

Critère	DANE	MTA-STS
Mécanisme	DNSSEC + TLSA records	HTTPS + politique texte
Dépendance	DNSSEC requis	HTTPS requis
Niveau de confiance	Cryptographique (DNSSEC)	PKI (HTTPS)
Facilité de déploiement	Complexe (DNSSEC)	Plus simple
Adoption	Gouvernements, institutions	Plus large

Les deux sont complémentaires. MTA-STS fonctionne sans DNSSEC, DANE offre une garantie cryptographique plus forte. Déployez les deux pour une couverture maximale : MTA-STS protège les domaines sans DNSSEC, DANE sécurise les autres.

FAQ - Questions fréquentes

Q : Qu'est-ce qu'un enregistrement DANE TLSA ?

R : Un enregistrement DANE TLSA est un enregistrement DNS qui associe un certificat TLS à un nom de domaine via DNSSEC. Il permet la vérification du certificat sans dépendre uniquement des autorités de certification, ajoutant une couche de sécurité aux connexions SMTP.

Q : Que vérifie le validateur DANE TLSA ?

R : Notre validateur analyse la syntaxe TLSA : le champ certificate usage (0-3), le selector (0-1), le matching type (0-2) et le format des données d'association de certificat. Il détecte les combinaisons invalides et les données hexadécimales malformées.

Q : Quels sont les types d'usage de certificat TLSA ?

R : Quatre types d'usage existent : PKIX-TA (0) contrainte CA, PKIX-EE (1) contrainte certificat de service, DANE-TA (2) assertion d'ancrage de confiance, DANE-EE (3) certificat émis par le domaine. DANE-EE (3) est le plus courant pour SMTP.

Q : Quelle différence entre DANE-TA et DANE-EE ?

R : DANE-TA (usage 2) épingle une autorité de certification, permettant la rotation de certificat sans mise à jour DNS. DANE-EE (usage 3) épingle le certificat serveur spécifique, offrant une sécurité plus forte mais nécessitant une mise à jour DNS lors du renouvellement.

Q : DANE nécessite-t-il DNSSEC ?

R : Oui, absolument. Sans DNSSEC, les enregistrements TLSA ne peuvent pas être authentifiés. Le modèle de sécurité DANE repose entièrement sur DNSSEC pour garantir l'intégrité des réponses DNS.

Q : Puis-je utiliser DANE avec Microsoft 365 ou Google Workspace ?

R : Microsoft 365 supporte DANE avec DNSSEC pour le courrier entrant (Exchange Online). Google Workspace ne supporte pas encore DANE pour la réception. Les deux plateformes supportent la validation DANE pour l'envoi vers des destinataires compatibles.

Outils complémentaires

Outil	Utilité
DANE TLSA Checker	Vérifier l'enregistrement TLSA déployé en DNS
DANE TLSA Generator	Créer un enregistrement TLSA à partir d'un certificat
Inspecteur MTA-STS	Vérifier la politique MTA-STS (sécurité TLS alternative)
Inspecteur TLS-RPT	Surveiller les échecs TLS via les rapports
Audit domaine email	Audit complet de l'authentification email

Ressources utiles

RFC 6698 - DANE TLSA (spécification originale)
RFC 7671 - Updates to DANE (mises à jour opérationnelles)
RFC 7672 - SMTP Security via DANE (DANE pour SMTP)
Microsoft - DANE with DNSSEC (guide Exchange Online)

DANE TLSA Validator

Validez vos enregistrements TLSA avant publication DNS

Conformité RFC 6698

Vérification DNSSEC

Retour instantané

Diagnostic détaillé

Sécurité TLS email