¿Cuál es el propósito de la autenticación basada en DNS de entidades nombradas (DANE)? ¿Y cómo se relaciona con las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC)?
En segundo lugar, ¿cómo puedo verificar que DANE está configurado correctamente? Ya sea con una herramienta local o en línea. ¿Y hay scripts conocidos de Nmap NSE que realizan esta comprobación?
DANE le permite (como propietario de un dominio) especificar las CA posibles que pueden generar un certificado para su dominio. Esto evita que los Ca's falsos emitan un certificado (será invalidado por un cliente que utiliza DANE para validar el certificado).
De Wikipedia :
DANE permite al administrador de un nombre de dominio certificar las claves utilizadas en los clientes o servidores TLS de ese dominio al almacenarlas en el Sistema de nombres de dominio (DNS). DANE necesita que los registros de DNS se firmen con DNSSEC para que su modelo de seguridad funcione.
Aquí hay una herramienta en línea que puede validar una implementación de DANE: enlace
El objetivo principal de DANE es permitir que un proveedor de DNS proporcione un certificado para un dominio como un registro de DNS. El trabajo realizado por una CA ahora, específicamente, la validación de dominios, es decir, la coincidencia de una clave pública con un dominio, se realizaría por un proveedor de DNS en lugar de una CA.
Como los registros de DNS deben ser confiables en este escenario, DNSSEC es un requisito para DANE.
Lea otras preguntas en las etiquetas penetration-test dns nmap dnssec dane