Quais matching types são suportados nos registros TLSA?

Existem três matching types: certificado completo (0) armazena os dados completos, SHA-256 (1) armazena um hash SHA-256, SHA-512 (2) armazena um hash SHA-512. SHA-256 (1) é recomendado para a maioria das implantações.

Como corrigir uma sintaxe TLSA inválida?

Correções comuns: verifique se os dados hex contêm apenas caracteres válidos (0-9, a-f), se os valores usage/selector/matching type estão nas faixas permitidas, e se o comprimento dos dados corresponde ao matching type (64 caracteres hex para SHA-256, 128 para SHA-512).

DANE TLSA Validator | Verificar Sintaxe TLSA Online

O que é DANE TLSA e por que validar a sintaxe?

Um registro TLSA inválido é ignorado sem aviso. Seu domínio perde a proteção DANE sem que você saiba.

DANE (RFC 6698) vincula certificados TLS a nomes DNS via DNSSEC. A RFC 7671 reforça suas regras operacionais. Juntos, esses padrões eliminam a dependência das autoridades de certificação para a autenticação SMTP.

Por que validar antes de publicar:

Um TLSA sintaticamente incorreto é silenciosamente ignorado pelos MTA
Um valor de usage errado enfraquece a segurança em vez de reforçá-la
Dados hexadecimais malformados tornam o registro inutilizável
Uma combinação usage/selector/matching type incoerente bloqueia a entrega de email

Valide sistematicamente seus registros antes da publicação DNS.

Formato do registro TLSA explicado

Estrutura básica

_25._tcp.mail.captaindns.com. IN TLSA 3 1 1 2bb183af...

Campo	Valores	Descrição
Certificate Usage	0-3	Tipo de restrição de certificado
Selector	0-1	Parte do certificado a ser comparada
Matching Type	0-2	Método de comparação
Certificate Data	Hex	Dados de certificado ou hash

Certificate Usage (campo 1)

Valor	Nome	Descrição
0	PKIX-TA	Restrição de CA: o certificado deve ser assinado por esta CA E validado PKIX
1	PKIX-EE	Restrição de certificado: correspondência exata do certificado do servidor + validação PKIX
2	DANE-TA	Âncora de confiança: aceita qualquer certificado assinado por esta CA
3	DANE-EE	Certificado do domínio: correspondência exata do certificado do servidor, sem validação PKIX

Recomendação: DANE-EE (3) domina as implantações SMTP. Ele dispensa a validação PKIX, simplificando a cadeia de confiança.

Selector (campo 2)

Valor	Nome	Descrição
0	Cert	Certificado completo (DER)
1	SPKI	Apenas chave pública (Subject Public Key Info)

Recomendação: Use SPKI (1). O registro TLSA sobrevive à renovação do certificado enquanto a chave privada permanecer a mesma.

Matching Type (campo 3)

Valor	Nome	Comprimento hex
0	Full	Variável (certificado completo)
1	SHA-256	64 caracteres
2	SHA-512	128 caracteres

Recomendação: SHA-256 (1) oferece o melhor equilíbrio tamanho/segurança.

Erros de sintaxe comuns

Valor de usage fora de faixa

# Incorreto: usage 4 não existe
3 1 1 2bb183af... → usage deve ser 0-3

# Correto: DANE-EE (3)
3 1 1 2bb183af...

Dados hex inválidos

# Incorreto: caracteres não-hex (G, Z)
3 1 1 2bg183zf...

# Correto: apenas 0-9, a-f
3 1 1 2bb183af...

Comprimento de hash incorreto

# Incorreto: SHA-256 deve ter 64 caracteres hex
3 1 1 2bb183

# Correto: hash SHA-256 completo (64 car.)
3 1 1 2bb183af2e2b295b444c1fd4072f2b59a8c1c9abf7f3f1e9b0d4c7e8f1a2b3c4

Combinação usage/selector incoerente

# Atenção: DANE-EE (3) + Cert (0) muda a cada renovação
3 0 1 ...

# Recomendado: DANE-EE (3) + SPKI (1) sobrevive às renovações
3 1 1 ...

Configuração DANE para SMTP

Passo 1: Ativar DNSSEC

DANE exige obrigatoriamente DNSSEC no seu domínio. Sem DNSSEC, os registros TLSA são ignorados. Verifique junto ao seu registrar se DNSSEC está ativo.

Passo 2: Gerar o registro TLSA

Use nosso Gerador DANE TLSA para criar um registro com os parâmetros corretos. A configuração 3 1 1 é recomendada para SMTP.

Passo 3: Validar a sintaxe

Cole o registro neste validador para verificar o formato antes da publicação. Corrija cada erro indicado antes de prosseguir.

Passo 4: Publicar no DNS

Adicione o registro TLSA no local DNS correto: _25._tcp.mail.captaindns.com. Respeite o TTL recomendado de 3600 segundos.

Passo 5: Verificar a implantação

Use nosso DANE TLSA Checker para confirmar que o registro está online e corretamente assinado por DNSSEC.

DANE vs MTA-STS: duas abordagens de segurança TLS

Critério	DANE	MTA-STS
Mecanismo	DNSSEC + TLSA records	HTTPS + política texto
Dependência	DNSSEC obrigatório	HTTPS obrigatório
Nível de confiança	Criptográfico (DNSSEC)	PKI (HTTPS)
Facilidade de implantação	Complexo (DNSSEC)	Mais simples
Adoção	Governos, instituições	Mais ampla

Os dois são complementares. MTA-STS funciona sem DNSSEC, DANE oferece segurança criptográfica mais forte. Implante ambos se possível. Comece pelo que seu provedor DNS suporta.

FAQ - Perguntas frequentes

P: O que é um registro DANE TLSA?

R: Um registro DANE TLSA é um registro DNS que associa um certificado TLS a um nome de domínio via DNSSEC. Ele permite a verificação do certificado sem depender unicamente das autoridades de certificação, adicionando uma camada de segurança às conexões SMTP.

P: O que o validador DANE TLSA verifica?

R: Nosso validador analisa a sintaxe TLSA: o campo certificate usage (0-3), o selector (0-1), o matching type (0-2) e o formato dos dados de associação de certificado. Ele detecta combinações inválidas e dados hexadecimais malformados.

P: Quais são os tipos de usage de certificado TLSA?

R: Existem quatro tipos de usage: PKIX-TA (0) restrição de CA, PKIX-EE (1) restrição de certificado de serviço, DANE-TA (2) asserção de âncora de confiança, DANE-EE (3) certificado emitido pelo domínio. DANE-EE (3) é o mais comum para SMTP.

P: Qual a diferença entre DANE-TA e DANE-EE?

R: DANE-TA (usage 2) fixa uma autoridade de certificação, permitindo a rotação de certificado sem atualização DNS. DANE-EE (usage 3) fixa o certificado específico do servidor, oferecendo segurança mais forte, mas exigindo atualização DNS na renovação.

P: DANE exige DNSSEC?

R: Sim, absolutamente. Sem DNSSEC, os registros TLSA não podem ser autenticados. O modelo de segurança DANE depende inteiramente do DNSSEC para garantir a integridade das respostas DNS.

P: Posso usar DANE com Microsoft 365 ou Google Workspace?

R: Microsoft 365 suporta DANE com DNSSEC para email de entrada (Exchange Online). Google Workspace ainda não suporta DANE para recebimento. Ambas as plataformas suportam a validação DANE para envio a destinatários compatíveis.

Ferramentas complementares

Ferramenta	Utilidade
DANE TLSA Checker	Verificar o registro TLSA implantado no DNS
DANE TLSA Generator	Criar um registro TLSA a partir de um certificado
Inspetor MTA-STS	Verificar a política MTA-STS (segurança TLS alternativa)
Inspetor TLS-RPT	Monitorar falhas TLS via relatórios
Auditoria de domínio de email	Auditoria completa da autenticação de email

Recursos úteis

RFC 6698 - DANE TLSA (especificação original)
RFC 7671 - Updates to DANE (atualizações operacionais)
RFC 7672 - SMTP Security via DANE (DANE para SMTP)
Microsoft - DANE with DNSSEC (guia Exchange Online)

DANE TLSA Validator

Valide seus registros TLSA antes da publicação DNS

Conformidade RFC 6698

Verificação DNSSEC

Retorno instantâneo

Diagnóstico detalhado

Segurança TLS de email