Ir para o conteúdo principal

DANE TLSA Generator

Crie registros TLSA para proteger suas conexões SMTP

Gere um registro DANE TLSA a partir do seu certificado TLS. Selecione o tipo de usage, o selector e o matching type, cole seu certificado PEM e obtenha um registro DNS pronto para publicar.

1Servidor e certificado

O nome do servidor MX (não o domínio de email). É o host no qual o registro TLSA será publicado.

Fonte do certificado
Porta 25 - DANE SMTP (RFC 7672). O DANE para SMTP é padronizado exclusivamente na porta 25 (MTA-to-MTA com STARTTLS). A porta é fixa e não pode ser configurada.
2Parâmetros TLSA

Os valores padrão (DANE-EE, SPKI, SHA-256) servem para praticamente todos os servidores SMTP. Só os altere se souber o que está fazendo.

Uso (utilização do certificado)
Selector
Matching Type

Suporte a certificado PEM

Cole seu certificado no formato PEM padrão. A ferramenta extrai automaticamente os dados necessários para gerar o hash TLSA.

Todos os parâmetros TLSA

Para SMTP (RFC 7672), configure os usages DANE-TA (2) e DANE-EE (3), 2 selectors (Cert, SPKI) e 3 matching types (Full, SHA-256, SHA-512).

Pronto para copiar e colar

Cópia com um clique para a área de transferência. Inclui o nome DNS completo (_25._tcp.hostname) e o valor do registro TLSA.

Validação integrada

O certificado PEM é validado antes da geração. Detecção de formatos inválidos, certificados expirados e chaves incompatíveis.

Guia de implantação DNSSEC

Lembretes e dicas para ativar DNSSEC antes de publicar os registros TLSA. DANE não funciona sem DNSSEC.

Como usar este gerador DANE TLSA

Gere seu registro TLSA em 3 passos. Você precisa apenas do certificado PEM do seu servidor de email.

Passo 1: Configurar os parâmetros TLSA

Cada parâmetro impacta a segurança e a manutenção do seu registro. Veja as recomendações:

Configuração recomendada para SMTP:

ParâmetroValor recomendadoRazão
Certificate UsageDANE-EE (3)Não precisa de validação PKIX
SelectorSPKI (1)Sobrevive às renovações
Matching TypeSHA-256 (1)Compacto e seguro
Port25Porta SMTP padrão

Passo 2: Fornecer o certificado

Cole seu certificado no formato PEM. Se você não tem o arquivo, extraia-o diretamente do servidor:

-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQON...
-----END CERTIFICATE-----

Como obter o certificado:

# Do seu servidor de email via STARTTLS
openssl s_client -connect mail.captaindns.com:25 -starttls smtp 2>/dev/null | openssl x509

# De um arquivo no servidor
cat /etc/letsencrypt/live/mail.captaindns.com/cert.pem

Passo 3: Copiar e publicar

O gerador produz um registro DNS pronto para colar no seu provedor. Copie o resultado com um clique:

_25._tcp.mail.captaindns.com.  IN  TLSA  3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4d

Passo 4: Verificar a implantação

Use nosso DANE TLSA Checker para confirmar que o registro está online e corretamente assinado por DNSSEC.


Guia dos parâmetros TLSA

Cada parâmetro TLSA afeta a segurança e a facilidade de manutenção. Escolha com cuidado.

Certificate Usage: qual tipo escolher?

Para SMTP (RFC 7672), apenas DANE-TA (2) e DANE-EE (3) são usados. PKIX-TA (0) e PKIX-EE (1) existem na RFC 6698, mas não se aplicam ao SMTP oportunista: os MTA se apoiam em DNSSEC, não na validação PKIX.

UsageNomeQuando usarRotação de certificado
2DANE-TAFixar a CA (sem PKIX)Fácil (mesma CA)
3DANE-EEFixar o certificado exato (sem PKIX)Médio (SPKI + reutilização de chave)

Por padrão, escolha DANE-EE (3) com selector SPKI (1) e matching SHA-256 (1). É a opção mais simples e robusta. DANE-TA (2) é uma opção avançada sujeita a uma restrição de cadeia (consulte as estratégias de implantação).

Selector: Cert vs SPKI

SelectorEstabilidadeCaso de uso
Cert (0)Muda a cada renovaçãoFixação rigorosa, gerenciamento DNS automatizado
SPKI (1)Estável se mesma chaveRecomendado, especialmente com Let's Encrypt

SPKI (1) é recomendado para reduzir a frequência das atualizações DNS.

Matching Type: Full vs Hash

MatchingTamanho do registroSegurança
Full (0)Grande (pode truncar UDP)Máxima
SHA-256 (1)64 caracteres hexRecomendado
SHA-512 (2)128 caracteres hexMais longo, sem benefício real

Use SHA-256 (1). Full (0) cria registros DNS grandes demais e pode causar truncamento UDP. SHA-512 (2) não oferece benefício real em relação ao SHA-256.


Pré-requisito: DNSSEC

Sem DNSSEC, seus registros TLSA são completamente ignorados. Antes de publicar um registro TLSA, você deve ativar DNSSEC:

Verificar DNSSEC

  1. Verifique se seu registrar suporta DNSSEC
  2. Ative a assinatura DNSSEC no seu provedor DNS
  3. Adicione os registros DS no seu registrar
  4. Aguarde a propagação (pode levar 24-48h)

Provedores DNS com DNSSEC

ProvedorDNSSECNotas
CloudflareSim (automático)Um clique nas configurações
AWS Route 53SimConfiguração manual necessária
OVHSimAtivação via painel
Google Cloud DNSSimConfiguração manual
GandiSimAtivação automática possível

Estratégias de implantação

Cenário 1: Let's Encrypt com reutilização de chave

Configuração:

# Gerar com reutilização de chave
certbot certonly --reuse-key -d mail.captaindns.com

# Registro TLSA (não muda entre renovações)
3 1 1 <sha256-spki>

Vantagem: O registro TLSA nunca muda enquanto a chave for reutilizada.

Cenário 2: Let's Encrypt com DANE-TA (opção avançada)

Com DANE-TA (usage 2), o certificado fixado - ou um certificado por ele assinado - DEVE estar presente na cadeia TLS enviada pelo servidor (RFC 7671 seção 5). Mas os MTA geralmente NÃO enviam o certificado raiz: fixe o intermediário realmente servido (por exemplo Let's Encrypt R10/R11), não a raiz ISRG Root X1.

Configuração:

# Fixar o intermediário realmente enviado pelo servidor (ex. R10/R11)
2 1 1 <sha256-spki-do-intermediario>

Aviso: se você fixar uma raiz (ISRG Root X1), configure o servidor para incluir esse certificado na cadeia TLS, caso contrário a validação DANE-TA falha. Em caso de dúvida, prefira DANE-EE (3) + SPKI (1), que não tem essa restrição de cadeia.

Vantagem: Nenhuma atualização DNS necessária enquanto o intermediário permanecer inalterado na cadeia.

Cenário 3: Rotação com registro duplo

Antes da rotação:

_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-cert-atual>
_25._tcp.mail.captaindns.com.  TLSA  3 1 1 <hash-cert-futuro>

Após a rotação: Remova o hash antigo.


Publicação DNS por provedor

Cloudflare

  1. Acesse as configurações DNS do seu domínio
  2. Adicione um registro:
    • Type: TLSA
    • Nome: _25._tcp.mail
    • Usage: 3
    • Selector: 1
    • Matching Type: 1
    • Certificate: Seu hash SHA-256

AWS Route 53

  1. Abra a zona hospedada
  2. Crie um registro:
    • Nome: _25._tcp.mail.captaindns.com
    • Type: TLSA
    • Valor: 3 1 1 <hash>
    • TTL: 3600

OVH / Formato genérico

  1. Acesse a zona DNS
  2. Adicione uma entrada:
    • Subdomínio: _25._tcp.mail
    • Type: TLSA
    • Destino: 3 1 1 <hash>
    • TTL: 3600

Boas práticas e armadilhas comuns

DANE é rigoroso: uma configuração incorreta bloqueia a recepção do correio. Evite estas armadilhas clássicas.

  • DNSSEC obrigatório: sem uma zona assinada e validada, os resolvedores ignoram o registro TLSA e o DANE fica totalmente inoperante. É o erro número um.
  • Rotação aditiva: publique o NOVO registro TLSA ALÉM do antigo, aguarde a propagação DNS e a expiração do TTL, e remova o antigo apenas após desativar o certificado anterior. Nunca apague o antigo antes de o novo ter se propagado.
  • Publish-then-deploy: publique e deixe o registro TLSA se propagar ANTES de trocar o certificado no servidor, nunca o contrário.
  • SPKI sobrevive à renovação: com o selector SPKI (1), enquanto a mesma chave for reutilizada, o registro permanece válido após a renovação, o que reduz as atualizações DNS. O selector Cert (0) obriga a republicar a cada renovação.
  • Correspondência com o certificado servido: o registro TLSA deve corresponder ao certificado realmente apresentado pelo MX. Uma divergência entre hostname e certificado provoca a falha da validação.

Segurança de email completa com DANE

DANE é um dos três pilares da segurança do transporte de email. Para uma proteção completa, implante os três:

1. DANE (Autenticação de certificado via DNS)

Verifica a identidade do servidor destinatário via DNSSEC.

2. MTA-STS (Aplicação TLS via HTTPS)

Alternativa a DANE sem DNSSEC.

3. TLS-RPT (Reportar as falhas)

Reporta falhas de conexão TLS (DANE e MTA-STS).

Ordem de implantação recomendada

Siga esta sequência para evitar falhas durante a implantação:

  1. Ativar DNSSEC no domínio - pré-requisito absoluto
  2. Publicar os registros TLSA (DANE) - use este gerador
  3. Configurar TLS-RPT para receber relatórios de falha
  4. Opcionalmente, adicionar MTA-STS como camada adicional
  5. Monitorar os relatórios TLS-RPT regularmente

FAQ - Perguntas frequentes

P: Como criar um registro DANE TLSA?

R: Use nosso gerador: selecione o tipo de usage (DANE-EE recomendado), o selector (SPKI para estabilidade), o matching type (SHA-256) e cole seu certificado PEM. A ferramenta gera o registro DNS completo pronto para publicar.


P: Qual usage de certificado escolher para DANE?

R: Para a maioria das implantações SMTP, DANE-EE (3) com selector SPKI e matching SHA-256 é recomendado. Para facilitar a rotação de certificado, use DANE-TA (2) com o certificado da sua CA.


P: Devo usar o certificado completo ou um hash?

R: Use sempre um hash SHA-256. Os dados completos (matching type 0) criam registros DNS muito grandes com risco de truncamento UDP. SHA-256 produz uma string compacta de 64 caracteres.


P: O que é o selector SPKI?

R: O selector SPKI (1) faz hash apenas da chave pública do certificado. O registro TLSA permanece válido quando você renova com o mesmo par de chaves, ao contrário do selector Cert (0) que muda a cada renovação.


P: Como implantar um registro DANE TLSA?

R: 1) Ative DNSSEC, 2) Adicione o TLSA em _25._tcp.seuservidordeemail, 3) Aguarde a propagação DNS, 4) Verifique com nosso DANE TLSA Checker. O registro deve ser assinado por DNSSEC.


P: Como gerenciar as renovações Let's Encrypt com DANE?

R: Duas estratégias: DANE-TA (usage 2) com o certificado CA Let's Encrypt sobrevive automaticamente às renovações. DANE-EE (usage 3) com selector SPKI e --reuse-key no Certbot também funciona.


Ferramentas complementares

FerramentaUtilidade
DANE TLSA ValidatorValidar a sintaxe antes da publicação
DANE TLSA CheckerVerificar o registro após a implantação
Gerador MTA-STSCriar uma política MTA-STS (segurança TLS alternativa)
Gerador TLS-RPTAtivar o reporting de falhas DANE
Hospedagem MTA-STSAdicione MTA-STS como fallback com políticas hospedadas grátis
Auditoria de domínio de emailAuditoria completa da autenticação de email

Recursos úteis