DANE hace posible que todos los propietarios de un dominio publiquen su certificado dentro del DNS, es decir, totalmente administrado por el propietario del dominio que es el propietario del certificado. Pero, DANE necesita DNSSec porque, de lo contrario, dichos registros podrían ser falsificados, lo que supondría un gran problema con los certificados. Por lo tanto, aunque DANE no se basa en una jerarquía de certificados para construir una cadena a una CA raíz confiable, todavía se basa en un concepto similar: una jerarquía de claves con claves raíz confiables.
La principal diferencia con respecto a los certificados emitidos por CA es que el propietario del dominio puede crear completamente todos los certificados que pertenecen a su propio dominio e insertarlo en esta jerarquía de claves confiables. La revocación similar es más fácil ya que la clave simplemente debe eliminarse del DNS. Por supuesto, esto requiere que el propietario del dominio pueda administrar sus propios registros DNS y que estos estén protegidos con DNSSec.