Quali matching type sono supportati nei record TLSA?

Esistono tre matching type: certificato completo (0) archivia i dati completi, SHA-256 (1) archivia un hash SHA-256, SHA-512 (2) archivia un hash SHA-512. SHA-256 (1) è consigliato per la maggior parte dei deployment.

Come correggere una sintassi TLSA non valida?

Correzioni comuni: verifica che i dati hex contengano solo caratteri validi (0-9, a-f), che i valori usage/selector/matching type siano negli intervalli consentiti, e che la lunghezza dei dati corrisponda al matching type (64 caratteri hex per SHA-256, 128 per SHA-512).

DANE TLSA Validator | Verifica Sintassi TLSA Online

Cos'è DANE TLSA e perché validare la sintassi?

Un record TLSA non valido viene ignorato senza alcun avviso. Il tuo dominio perde la protezione DANE senza che tu lo sappia.

DANE (RFC 6698) associa i certificati TLS ai nomi DNS tramite DNSSEC. La RFC 7671 ne rafforza le regole operative. Insieme, questi standard eliminano la dipendenza dalle autorità di certificazione per l'autenticazione SMTP.

Perché validare prima della pubblicazione:

Un TLSA sintatticamente errato viene ignorato silenziosamente dai MTA
Un valore di usage sbagliato indebolisce la sicurezza anziché rafforzarla
Dati esadecimali malformati rendono il record inutilizzabile
Una combinazione usage/selector/matching type incoerente blocca la consegna email

Valida sistematicamente i tuoi record prima della pubblicazione DNS.

Formato del record TLSA spiegato

Struttura di base

_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af...

Campo	Valori	Descrizione
Certificate Usage	0-3	Tipo di vincolo del certificato
Selector	0-1	Parte del certificato da confrontare
Matching Type	0-2	Metodo di confronto
Certificate Data	Hex	Dati del certificato o hash

Certificate Usage (campo 1)

Valore	Nome	Descrizione
0	PKIX-TA	Vincolo CA: il certificato deve essere firmato da questa CA E validato PKIX
1	PKIX-EE	Vincolo certificato: corrispondenza esatta del certificato server + validazione PKIX
2	DANE-TA	Ancoraggio di fiducia: accetta qualsiasi certificato firmato da questa CA
3	DANE-EE	Certificato dominio: corrispondenza esatta del certificato server, nessuna validazione PKIX

Raccomandazione: DANE-EE (3) domina i deployment SMTP. Non richiede la validazione PKIX, semplificando la catena di fiducia.

Selector (campo 2)

Valore	Nome	Descrizione
0	Cert	Certificato completo (DER)
1	SPKI	Solo chiave pubblica (Subject Public Key Info)

Raccomandazione: SPKI (1) è preferito perché resta valido dopo il rinnovo con la stessa chiave.

Matching Type (campo 3)

Valore	Nome	Lunghezza hex
0	Full	Variabile (certificato completo)
1	SHA-256	64 caratteri
2	SHA-512	128 caratteri

Raccomandazione: SHA-256 (1) offre il miglior compromesso dimensione/sicurezza.

Errori di sintassi comuni

Valore di usage fuori intervallo

# Errato: usage 4 non esiste
3 1 1 2bb183af... → usage deve essere 0-3

# Corretto: DANE-EE (3)
3 1 1 2bb183af...

Dati hex non validi

# Errato: caratteri non-hex (G, Z)
3 1 1 2bg183zf...

# Corretto: solo 0-9, a-f
3 1 1 2bb183af...

Lunghezza di hash errata

# Errato: SHA-256 deve essere di 64 caratteri hex
3 1 1 2bb183

# Corretto: hash SHA-256 completo (64 car.)
3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4

Combinazione usage/selector incoerente

# Attenzione: DANE-EE (3) + Cert (0) cambia ad ogni rinnovo
3 0 1 ...

# Consigliato: DANE-EE (3) + SPKI (1) sopravvive ai rinnovi
3 1 1 ...

Configurazione DANE per SMTP

Passaggio 1: Attivare DNSSEC

DANE richiede assolutamente DNSSEC sul tuo dominio. Senza DNSSEC, i record TLSA vengono ignorati.

Passaggio 2: Generare il record TLSA

Usa il nostro Generatore DANE TLSA per creare un record con i parametri corretti.

Passaggio 3: Validare la sintassi

Incolla il record in questo validatore per verificare il formato prima della pubblicazione.

Passaggio 4: Pubblicare nel DNS

Aggiungi il record TLSA nella posizione DNS corretta: _25._tcp.mail.captaindns.com.

Passaggio 5: Verificare il deployment

Usa il nostro DANE TLSA Checker per confermare che il record è online e correttamente firmato DNSSEC.

DANE vs MTA-STS: due approcci alla sicurezza TLS

Criterio	DANE	MTA-STS
Meccanismo	DNSSEC + TLSA record	HTTPS + policy testuale
Dipendenza	DNSSEC richiesto	HTTPS richiesto
Livello di fiducia	Crittografico (DNSSEC)	PKI (HTTPS)
Facilità di deployment	Complesso (DNSSEC)	Più semplice
Adozione	Governi, istituzioni	Più ampia

I due sono complementari. MTA-STS funziona senza DNSSEC, DANE offre una sicurezza crittografica più forte. Implementa entrambi se possibile.

FAQ - Domande frequenti

D: Cos'è un record DANE TLSA?

R: Un record DANE TLSA è un record DNS che associa un certificato TLS a un nome di dominio tramite DNSSEC. Permette la verifica del certificato senza dipendere unicamente dalle autorità di certificazione, aggiungendo un livello di sicurezza alle connessioni SMTP.

D: Cosa verifica il validatore DANE TLSA?

R: Il nostro validatore analizza la sintassi TLSA: il campo certificate usage (0-3), il selector (0-1), il matching type (0-2) e il formato dei dati di associazione del certificato. Rileva le combinazioni non valide e i dati esadecimali malformati.

D: Quali sono i tipi di certificate usage TLSA?

R: Esistono quattro tipi di usage: PKIX-TA (0) vincolo CA, PKIX-EE (1) vincolo certificato di servizio, DANE-TA (2) asserzione di ancoraggio di fiducia, DANE-EE (3) certificato emesso dal dominio. DANE-EE (3) è il più comune per SMTP.

D: Che differenza c'è tra DANE-TA e DANE-EE?

R: DANE-TA (usage 2) vincola un'autorità di certificazione, consentendo la rotazione del certificato senza aggiornamento DNS. DANE-EE (usage 3) vincola il certificato server specifico, offrendo una sicurezza più forte ma richiedendo un aggiornamento DNS al rinnovo.

D: DANE richiede DNSSEC?

R: Sì, assolutamente. Senza DNSSEC, i record TLSA non possono essere autenticati. Il modello di sicurezza DANE si basa interamente su DNSSEC per garantire l'integrità delle risposte DNS.

D: Posso usare DANE con Microsoft 365 o Google Workspace?

R: Microsoft 365 supporta DANE con DNSSEC per la posta in arrivo (Exchange Online). Google Workspace non supporta ancora DANE per la ricezione. Entrambe le piattaforme supportano la validazione DANE per l'invio verso destinatari compatibili.

Strumenti complementari

Strumento	Utilità
DANE TLSA Checker	Verificare il record TLSA pubblicato nel DNS
DANE TLSA Generator	Creare un record TLSA a partire da un certificato
Ispettore MTA-STS	Verificare la policy MTA-STS (sicurezza TLS alternativa)
Ispettore TLS-RPT	Monitorare i fallimenti TLS tramite i report
Audit dominio email	Audit completo dell'autenticazione email

Risorse utili

RFC 6698 - DANE TLSA (specifica originale)
RFC 7671 - Updates to DANE (aggiornamenti operativi)
RFC 7672 - SMTP Security via DANE (DANE per SMTP)
Microsoft - DANE with DNSSEC (guida Exchange Online)

DANE TLSA Validator

Valida i tuoi record TLSA prima della pubblicazione DNS

Conformità RFC 6698

Verifica DNSSEC

Feedback istantaneo

Diagnostica dettagliata

Sicurezza TLS email