TLSA-Records

Definitionen und Erklärungen zu TLSA-Records

TLSA-Record: Was ist ein TLS Authentication Record im DNS?

Ein TLSA-Record ist ein spezieller DNS-Eintrag, der zusammen mit dem Mechanismus DANE (DNS-based Authentication of Named Entities) verwendet wird. Er dient dazu, X.509-Zertifikate von Servern kryptografisch über DNSSEC zu verifizieren. TLSA-Records ermöglichen es, Zertifikatsinformationen direkt im DNS zu veröffentlichen, wodurch die Vertrauenswürdigkeit eines Dienstes unabhängig von klassischen Zertifizierungsstellen überprüft werden kann.

Was macht ein TLSA-Record?

Ein TLSA-Record verknüpft einen bestimmten Dienst (z. B. einen Mailserver oder Webserver) mit einem SSL-/TLS-Zertifikat. Er wird bei DNS-Abfragen mit DNSSEC-Signaturen geschützt und vom Client zur Überprüfung des empfangenen Zertifikats herangezogen. Dies erschwert Man-in-the-Middle-Angriffe und erhöht die Sicherheit im Vergleich zum alleinigen Vertrauen auf öffentliche CAs.

Beispiel eines TLSA-Records

_25._tcp.mail.example.com. IN TLSA 3 1 1 aabbccddeeff001122...

Dieser Eintrag beschreibt einen TLSA-Record für Port 25 (SMTP) über TCP auf dem Host mail.example.com. Die Zahlenfolge definiert die Art der Prüfung und der verwendete Hash stellt den Fingerabdruck des Zertifikats dar.

Aufbau eines TLSA-Records
  • Usage (0–3): Gibt an, wie das Zertifikat überprüft wird (z. B. gegen den CA-Schlüssel oder ein Endzertifikat)
  • Selector (0–1): Bestimmt, welcher Teil des Zertifikats herangezogen wird (z. B. gesamtes Zertifikat oder nur öffentlicher Schlüssel)
  • Matching Type (0–2): Gibt an, wie der Vergleich erfolgt (z. B. als voller Hash, SHA-256, SHA-512)
  • Cert Association Data: Der Hash oder die vollständigen Daten zur Identifikation
Typische Einsatzbereiche
  • Absicherung von E-Mail-Servern mit SMTP über STARTTLS (z. B. Port 25, 465, 587)
  • HTTPS-Absicherung (Webserver), insbesondere in sicherheitskritischen Umgebungen
  • DNS-basierte Service-Verifikation für interne Dienste mit eigener PKI
Voraussetzungen für die Nutzung
  • DNSSEC muss für die Domain vollständig aktiviert sein
  • Nur sinnvoll bei eigenen Zertifikaten oder strenger Sicherheitsanforderung
  • Erfordert Unterstützung durch Clients oder spezialisierte Software
Vorteile
  • Verifizierung unabhängig von externen Zertifizierungsstellen (CAs)
  • Stärkere Kontrolle über erlaubte Zertifikate pro Dienst
  • Ideal für hochsichere E-Mail- oder Webserver-Setups
Nachteile
  • Komplexe Einrichtung
  • Wenig verbreitet, begrenzte Client-Unterstützung
  • Nur mit aktiviertem DNSSEC zuverlässig nutzbar
Bezug zu Domain, Hosting und Sicherheit
  • Beim mit hohem Sicherheitsbedarf sollte DNSSEC mit TLSA kombiniert werden
  • Mailserver und Webserver mit eigener Infrastruktur profitieren besonders von TLSA
  • Bei SSL-Zertifikat kaufen kann TLSA helfen, dieses zusätzlich zu verifizieren
Zusammenfassung
  • Ein TLSA-Record verknüpft einen Dienst (z. B. Mailserver) mit einem Zertifikat im DNS
  • Er ist Teil der DANE-Technologie und nur in Verbindung mit DNSSEC sinnvoll
  • Die Sicherheit gegenüber Angriffen wie MITM wird signifikant erhöht
  • Kommt vor allem in sicherheitskritischen Infrastrukturen und bei E-Mail zum Einsatz

Alle Angaben ohne Gewähr.

Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.