¿Por qué es la autenticación basada en DNS de entidades con nombre ( DANE ) protocolo dependiendo del sistema de nombres de dominio Extensiones de seguridad ( DNSSEC )?
La idea del protocolo Autenticación basada en DNS de entidades con nombre (DANE) es que los propietarios del dominio publiquen la huella digital de un certificado que su servidor utiliza en un registro de recursos DNS. Es una medida para evitar la falsificación de certificados. Los usuarios que deseen conectarse al servidor a través de TLS pueden buscar la huella digital del certificado presentado en el registro DNS para el nombre de dominio correspondiente para ver si fue permitido por el propietario.
Esto significa que DANE se basa en la suposición de que las respuestas de DNS pueden ser confiables, lo que no es el caso del DNS regular. Para afirmar la integridad de los registros DNS, DANE utiliza el mecanismo de firma proporcionado por DNSSEC. De lo contrario, un hombre en el medio podría simplemente modificar la huella digital en el registro TLSA y DANE sería inútil.