TLSA-Record: Was ist ein TLS Authentication Record im DNS?
Ein TLSA-Record ist ein spezieller DNS-Eintrag, der zusammen mit dem Mechanismus DANE (DNS-based Authentication of Named Entities) verwendet wird. Er dient dazu, X.509-Zertifikate von Servern kryptografisch über DNSSEC zu verifizieren. TLSA-Records ermöglichen es, Zertifikatsinformationen direkt im DNS zu veröffentlichen, wodurch die Vertrauenswürdigkeit eines Dienstes unabhängig von klassischen Zertifizierungsstellen überprüft werden kann.
Was macht ein TLSA-Record?
Ein TLSA-Record verknüpft einen bestimmten Dienst (z. B. einen Mailserver oder Webserver) mit einem SSL-/TLS-Zertifikat. Er wird bei DNS-Abfragen mit DNSSEC-Signaturen geschützt und vom Client zur Überprüfung des empfangenen Zertifikats herangezogen. Dies erschwert Man-in-the-Middle-Angriffe und erhöht die Sicherheit im Vergleich zum alleinigen Vertrauen auf öffentliche CAs.
Beispiel eines TLSA-Records
_25._tcp.mail.example.com. IN TLSA 3 1 1 aabbccddeeff001122...
Dieser Eintrag beschreibt einen TLSA-Record für Port 25 (SMTP) über TCP auf dem Host mail.example.com
. Die Zahlenfolge definiert die Art der Prüfung und der verwendete Hash stellt den Fingerabdruck des Zertifikats dar.
Aufbau eines TLSA-Records
-
Usage (0–3): Gibt an, wie das Zertifikat überprüft wird (z. B. gegen den CA-Schlüssel oder ein Endzertifikat)
-
Selector (0–1): Bestimmt, welcher Teil des Zertifikats herangezogen wird (z. B. gesamtes Zertifikat oder nur öffentlicher Schlüssel)
-
Matching Type (0–2): Gibt an, wie der Vergleich erfolgt (z. B. als voller Hash, SHA-256, SHA-512)
-
Cert Association Data: Der Hash oder die vollständigen Daten zur Identifikation
Typische Einsatzbereiche
-
Absicherung von E-Mail-Servern mit SMTP über STARTTLS (z. B. Port 25, 465, 587)
-
HTTPS-Absicherung (Webserver), insbesondere in sicherheitskritischen Umgebungen
-
DNS-basierte Service-Verifikation für interne Dienste mit eigener PKI
Voraussetzungen für die Nutzung
-
DNSSEC muss für die Domain vollständig aktiviert sein
- Nur sinnvoll bei eigenen Zertifikaten oder strenger Sicherheitsanforderung
- Erfordert Unterstützung durch Clients oder spezialisierte Software
Vorteile
- Verifizierung unabhängig von externen Zertifizierungsstellen (CAs)
- Stärkere Kontrolle über erlaubte Zertifikate pro Dienst
- Ideal für hochsichere E-Mail- oder Webserver-Setups
Nachteile
- Komplexe Einrichtung
- Wenig verbreitet, begrenzte Client-Unterstützung
- Nur mit aktiviertem DNSSEC zuverlässig nutzbar
Bezug zu Domain, Hosting und Sicherheit
- Beim mit hohem Sicherheitsbedarf sollte DNSSEC mit TLSA kombiniert werden
-
Mailserver und Webserver mit eigener Infrastruktur profitieren besonders von TLSA
- Bei SSL-Zertifikat kaufen kann TLSA helfen, dieses zusätzlich zu verifizieren
Zusammenfassung
- Ein TLSA-Record verknüpft einen Dienst (z. B. Mailserver) mit einem Zertifikat im DNS
- Er ist Teil der DANE-Technologie und nur in Verbindung mit DNSSEC sinnvoll
- Die Sicherheit gegenüber Angriffen wie MITM wird signifikant erhöht
- Kommt vor allem in sicherheitskritischen Infrastrukturen und bei E-Mail zum Einsatz
Alle Angaben ohne Gewähr.