Eso no es para lo que se inventa DANE. Los registros de TLSA son para brindar seguridad adicional principalmente para conectarse a puntos finales de transporte (por ejemplo, puertos TCP) en hosts con nombre , de modo que los certificados para los nombres de host puedan ser independientes del certificado Autoridades. Con DNSSEC, esto se puede lograr de forma criptográfica segura.
Algunas personas lo consideran una desventaja, ya que alguien que controla un nivel de nombres de dominio puede controlar todos los nombres Y certificados presentes en esos nombres. En realidad, los propietarios del dominio raíz (.) Pueden falsificar de forma segura cualquier nombre de host y con DANE, un certificado seguro también.
RFC6698 lo explica de esta manera:
DNS-Based Authentication of Named Entities (DANE) offers the option
to use the DNSSEC infrastructure to store and sign keys and
certificates that are used by TLS. DANE is envisioned as a
preferable basis for binding public keys to DNS names...
Hay una propuesta relacionada (al menos una) de almacenar la ubicación de las claves PGP del usuario en el DNS de sus dominios de correo en los registros TXT, pero su principal objetivo es facilitar la búsqueda de esa clave, no verificar realmente it.
Hay ES un estándar propuesto RFC4398 para almacenar realmente los certificados, pero como se creó antes de que se extendiera DNSSEC, se recomienda no almacenar certificados completos si causan que la respuesta UDP sea más grande que 512 bytes. Tampoco me parece que esté en uso generalizado.
Dado que todas las verificaciones de los usuarios se realizan en el software del servidor que requiere una configuración adicional, generalmente hay poca necesidad de esperar certificados oficiales de los clientes emitidos por la CA y / o una forma estandarizada de almacenar copias adicionales de dichos certificados. En realidad, es libre de implementar cualquier verificación de este tipo en su programa / sitio.
Si cree que el compromiso de la CA puede invalidar los certificados de usuario, puede ser más fácil agregar cada certificado de usuario individualmente como un certificado de confianza, por ejemplo.