DANE (RFC 6698) ist eine überaus nützliche Methode, um die Echtheit von Serverzertifikaten online zu überprüfen.
Es ist weiterhin geeignet, eine Alternative zu den bekannten PKIs. Das folgende Skript ist eine Methode, um
TLSA Records im DNS zu erstellen. Es ist in Perl geschrieben und benötigt eine OpenSSL Installation, die bei den
meisten Linux oder BSD Installationen ohnehin vorhanden sein dürfte. Weiterhin muss eine aktuelle GnuTLS Installation
vorhanden sein, mit danetool, das Bestandteil von GnuTLS wird nämlich der TLSA RR generiert.
Der Sourcecode ist unter https://github.com/ip6li/dane zu finden.
TLSA Record für einen https Server ermitteln:
./get-dane.pl www.example.com 443
TLSA Record für eine starttls Anwendung, wie z.B. SMTP ermitteln:
./get-dane.pl mail.example.com 25 -starttls smtp
Man kann ggf. noch andere OpenSSL Parameter angeben.
Das Skript erzeugt einen TLSA Typ 2 Record, d.h. der RR bezieht sich auf die verwendete CA. Bei dieser Methode ist der
TLSA RR für alle Zertifikate gültig, die von der CA, auf die sich der TLSA Eintrag bezieht, signiert wurden. Soll das Skript nur
TLSA RRs erzeugen, die für das betreffende Zertifikat gelten, dann muss danetool ohne den Parameter --ca aufgerufen werden.
Die Ausgabe dieses Skripts kann direkt in das Zonenfile der betreffenden Domain eingetragen werden, der RR wird von Bind9 korrekt verarbeitet.