Como usar este gerador DANE TLSA
Gere seu registro TLSA em 3 passos. Você precisa apenas do certificado PEM do seu servidor de email.
Passo 1: Configurar os parâmetros TLSA
Cada parâmetro impacta a segurança e a manutenção do seu registro. Veja as recomendações:
Configuração recomendada para SMTP:
| Parâmetro | Valor recomendado | Razão |
|---|---|---|
| Certificate Usage | DANE-EE (3) | Não precisa de validação PKIX |
| Selector | SPKI (1) | Sobrevive às renovações |
| Matching Type | SHA-256 (1) | Compacto e seguro |
| Port | 25 | Porta SMTP padrão |
Passo 2: Fornecer o certificado
Cole seu certificado no formato PEM. Se você não tem o arquivo, extraia-o diretamente do servidor:
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQON...
-----END CERTIFICATE-----
Como obter o certificado:
# Do seu servidor de email via STARTTLS
openssl s_client -connect mail.captaindns.com:25 -starttls smtp 2>/dev/null | openssl x509
# De um arquivo no servidor
cat /etc/letsencrypt/live/mail.captaindns.com/cert.pem
Passo 3: Copiar e publicar
O gerador produz um registro DNS pronto para colar no seu provedor. Copie o resultado com um clique:
_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4d
Passo 4: Verificar a implantação
Use nosso DANE TLSA Checker para confirmar que o registro está online e corretamente assinado por DNSSEC.
Guia dos parâmetros TLSA
Cada parâmetro TLSA afeta a segurança e a facilidade de manutenção. Escolha com cuidado.
Certificate Usage: qual tipo escolher?
| Usage | Nome | Quando usar | Rotação de certificado |
|---|---|---|---|
| 0 | PKIX-TA | CA conhecida + validação PKIX | Fácil (mesma CA) |
| 1 | PKIX-EE | Certificado exato + PKIX | Difícil (atualização DNS) |
| 2 | DANE-TA | CA conhecida sem PKIX | Fácil (mesma CA) |
| 3 | DANE-EE | Certificado exato sem PKIX | Médio (SPKI + reutilização de chave) |
Para SMTP, use DANE-EE (3). Os servidores de email não exigem validação PKIX. Isso simplifica a cadeia de confiança.
Selector: Cert vs SPKI
| Selector | Estabilidade | Caso de uso |
|---|---|---|
| Cert (0) | Muda a cada renovação | Fixação rigorosa, gerenciamento DNS automatizado |
| SPKI (1) | Estável se mesma chave | Recomendado, especialmente com Let's Encrypt |
SPKI (1) é recomendado para reduzir a frequência das atualizações DNS.
Matching Type: Full vs Hash
| Matching | Tamanho do registro | Segurança |
|---|---|---|
| Full (0) | Grande (pode truncar UDP) | Máxima |
| SHA-256 (1) | 64 caracteres hex | Recomendado |
| SHA-512 (2) | 128 caracteres hex | Mais longo, sem benefício real |
Use SHA-256 (1). Full (0) cria registros DNS grandes demais e pode causar truncamento UDP. SHA-512 (2) não oferece benefício real sobre SHA-256.
Pré-requisito: DNSSEC
Sem DNSSEC, seus registros TLSA são completamente ignorados. Antes de publicar um registro TLSA, você deve ativar DNSSEC:
Verificar DNSSEC
- Verifique se seu registrar suporta DNSSEC
- Ative a assinatura DNSSEC no seu provedor DNS
- Adicione os registros DS no seu registrar
- Aguarde a propagação (pode levar 24-48h)
Provedores DNS com DNSSEC
| Provedor | DNSSEC | Notas |
|---|---|---|
| Cloudflare | Sim (automático) | Um clique nas configurações |
| AWS Route 53 | Sim | Configuração manual necessária |
| OVH | Sim | Ativação via painel |
| Google Cloud DNS | Sim | Configuração manual |
| Gandi | Sim | Ativação automática possível |
Estratégias de implantação
Cenário 1: Let's Encrypt com reutilização de chave
Configuração:
# Gerar com reutilização de chave
certbot certonly --reuse-key -d mail.captaindns.com
# Registro TLSA (não muda entre renovações)
3 1 1 <sha256-spki>
Vantagem: O registro TLSA nunca muda enquanto a chave for reutilizada.
Cenário 2: Let's Encrypt com DANE-TA
Configuração:
# Fixar o CA Let's Encrypt (ISRG Root X1)
2 0 1 <sha256-do-ca-letsencrypt>
Vantagem: Nenhuma atualização DNS necessária, enquanto o Let's Encrypt assinar seus certificados.
Cenário 3: Rotação com registro duplo
Antes da rotação:
_25._tcp.mail.captaindns.com. TLSA 3 1 1 <hash-cert-atual>
_25._tcp.mail.captaindns.com. TLSA 3 1 1 <hash-cert-futuro>
Após a rotação: Remova o hash antigo.
Publicação DNS por provedor
Cloudflare
- Acesse as configurações DNS do seu domínio
- Adicione um registro:
- Type: TLSA
- Nome:
_25._tcp.mail - Usage: 3
- Selector: 1
- Matching Type: 1
- Certificate: Seu hash SHA-256
AWS Route 53
- Abra a zona hospedada
- Crie um registro:
- Nome:
_25._tcp.mail.captaindns.com - Type: TLSA
- Valor:
3 1 1 <hash> - TTL: 3600
- Nome:
OVH / Formato genérico
- Acesse a zona DNS
- Adicione uma entrada:
- Subdomínio:
_25._tcp.mail - Type: TLSA
- Destino:
3 1 1 <hash> - TTL: 3600
- Subdomínio:
Segurança de email completa com DANE
DANE é um dos três pilares da segurança do transporte de email. Para uma proteção completa, implante os três:
1. DANE (Autenticação de certificado via DNS)
Verifica a identidade do servidor destinatário via DNSSEC.
- Use este gerador
- Verificar a implantação DANE
2. MTA-STS (Aplicação TLS via HTTPS)
Alternativa a DANE sem DNSSEC.
3. TLS-RPT (Reportar as falhas)
Reporta falhas de conexão TLS (DANE e MTA-STS).
Ordem de implantação recomendada
Siga esta sequência para evitar falhas durante a implantação:
- Ativar DNSSEC no domínio - pré-requisito absoluto
- Publicar os registros TLSA (DANE) - use este gerador
- Configurar TLS-RPT para receber relatórios de falha
- Opcionalmente, adicionar MTA-STS como camada adicional
- Monitorar os relatórios TLS-RPT regularmente
FAQ - Perguntas frequentes
P: Como criar um registro DANE TLSA?
R: Use nosso gerador: selecione o tipo de usage (DANE-EE recomendado), o selector (SPKI para estabilidade), o matching type (SHA-256) e cole seu certificado PEM. A ferramenta gera o registro DNS completo pronto para publicar.
P: Qual usage de certificado escolher para DANE?
R: Para a maioria das implantações SMTP, DANE-EE (3) com selector SPKI e matching SHA-256 é recomendado. Para facilitar a rotação de certificado, use DANE-TA (2) com o certificado da sua CA.
P: Devo usar o certificado completo ou um hash?
R: Use sempre um hash SHA-256. Os dados completos (matching type 0) criam registros DNS muito grandes com risco de truncamento UDP. SHA-256 produz uma string compacta de 64 caracteres.
P: O que é o selector SPKI?
R: O selector SPKI (1) faz hash apenas da chave pública do certificado. O registro TLSA permanece válido quando você renova com o mesmo par de chaves, ao contrário do selector Cert (0) que muda a cada renovação.
P: Como implantar um registro DANE TLSA?
R: 1) Ative DNSSEC, 2) Adicione o TLSA em _25._tcp.seuservidordeemail, 3) Aguarde a propagação DNS, 4) Verifique com nosso DANE TLSA Checker. O registro deve ser assinado por DNSSEC.
P: Como gerenciar as renovações Let's Encrypt com DANE?
R: Duas estratégias: DANE-TA (usage 2) com o certificado CA Let's Encrypt sobrevive automaticamente às renovações. DANE-EE (usage 3) com selector SPKI e --reuse-key no Certbot também funciona.
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| DANE TLSA Validator | Validar a sintaxe antes da publicação |
| DANE TLSA Checker | Verificar o registro após a implantação |
| Gerador MTA-STS | Criar uma política MTA-STS (segurança TLS alternativa) |
| Gerador TLS-RPT | Ativar o reporting de falhas DANE |
| Auditoria de domínio de email | Auditoria completa da autenticação de email |
Recursos úteis
- RFC 6698 - DANE TLSA (especificação original)
- RFC 7671 - Updates to DANE (atualizações operacionais)
- RFC 7672 - SMTP Security via DANE (DANE para SMTP)
- Certbot - Reuse Key (reutilização de chave para DANE)
- Microsoft - DANE with DNSSEC (guia Exchange Online)