Definition und Nutzen von TLSA-Records

TLSA-Records (Transport Layer Security Authentication Records) sind ein wesentlicher Bestandteil des DNS-based Authentication of Named Entities (DANE) Protokolls. Sie werden verwendet, um zusätzliche Sicherheit für die Datenübertragung im Internet zu gewährleisten. TLSA-Records ermöglichen es, die Authentizität von TLS/SSL-Zertifikaten zu verifizieren, die von Webservern verwendet werden und reduzieren damit das Risiko von Man-in-the-Middle-Angriffen.

Konkrete Anwendungsfälle für TLSA-Records

  • Verstärkte Sicherheit für Websites: TLSA-Records können dazu beitragen, die Sicherheit von Websites zu erhöhen, indem sie sicherstellen, dass die Browser der Besucher nur eine Verbindung zu einem Server mit einem spezifisch autorisierten TLS/SSL-Zertifikat herstellen.
  • E-Mail-Sicherheit: Für E-Mail-Server bieten TLSA-Records eine zusätzliche Sicherheitsebene, indem sie die Verwendung authentifizierter TLS/SSL-Zertifikate für den verschlüsselten E-Mail-Verkehr gewährleisten.
  • Schutz anderer Dienste: Neben HTTP und E-Mail können TLSA-Records auch für andere Dienste wie FTPS, IMAPS, SIP über TLS usw. verwendet werden, um die Authentizität der TLS/SSL-Zertifikate sicherzustellen.

Technischer Aufbau und Struktur von TLSA-Records

Ein TLSA-Record besteht aus folgenden Komponenten:

  • Subdomain/Hostname: Der Hostname
  • TTL: Gibt an (in Sekunden), wie lange der Eintrag in den DNS-Server gecached bleiben soll.
  • Zertifikatnutzungsart (Certificate Usage): Bestimmt, wie das Zertifikat verwendet wird (z.B. CA-Zertifikat, End-Entity-Zertifikat).
  • Selektor: Gibt an, welcher Teil des Zertifikats im Record verwendet wird (z.B. das ganze Zertifikat oder nur der öffentliche Schlüssel).
  • Matching-Typ: Definiert, wie das Zertifikat im TLSA-Record abgeglichen wird (z.B. exakter Wert, SHA-256-Hashwert).
  • Zertifikatdaten: Die eigentlichen Daten des Zertifikats oder des öffentlichen Schlüssels, je nach Selektor und Matching-Typ.

Wichtige Hinweise:

Regelmäßige Aktualisierung: TLSA-Records müssen aktualisiert werden, wenn das zugehörige Zertifikat erneuert wird.
Kompatibilität mit CA-Zertifikaten: Stellen Sie sicher, dass Ihre TLSA-Records kompatibel mit den von Ihnen verwendeten Zertifizierungsstellen (CAs) sind.


 zurück