DANE
Was ist DANE?
DANEProtokollfamilie nach RFC 6698, die mit DNSSEC-signierten TLSA-Records TLS-Zertifikate oder öffentliche Schlüssel an einen Dienst bindet und so die Abhängigkeit vom öffentlichen CA-System verringert.
DANE (DNS-Based Authentication of Named Entities), spezifiziert in RFC 6698 und für SMTP in RFC 7672 erweitert, veröffentlicht TLSA-Records, die einen Dienst (z. B. _25._tcp.mail.example.com) und das legitime Zertifikat oder den öffentlichen Schlüssel benennen. DNSSEC sichert die Integrität gegen Manipulation auf dem Übertragungsweg. Bei SMTP erzwingen sendende MTAs TLS gegen MX-Hosts, deren TLSA-Records validieren, was Downgrade- und Rogue-Certificate-Angriffe verhindert. DANE wird auch in HTTPS verwendet, ist im E-Mail-Bereich aber am stärksten verbreitet. Es ergänzt MTA-STS um eine DNSSEC-verankerte Garantie; viele Betreiber setzen beides ein. Effektives DANE erfordert sauber gepflegte DNSSEC-Zonen und aktualisierte TLSA-Records bei Zertifikats-Rollovern.
● Beispiele
- 01
Veröffentlichung eines TLSA-Records, sodass Partner-MTAs Mail an mail.example.com nur mit erwartetem Zertifikat annehmen.
- 02
Pinning eines öffentlichen Schlüssels per TLSA 3 1 1, um Zertifikate ohne Schlüsselwechsel zu rotieren.
● Häufige Fragen
Was ist DANE?
Protokollfamilie nach RFC 6698, die mit DNSSEC-signierten TLSA-Records TLS-Zertifikate oder öffentliche Schlüssel an einen Dienst bindet und so die Abhängigkeit vom öffentlichen CA-System verringert. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DANE?
Protokollfamilie nach RFC 6698, die mit DNSSEC-signierten TLSA-Records TLS-Zertifikate oder öffentliche Schlüssel an einen Dienst bindet und so die Abhängigkeit vom öffentlichen CA-System verringert.
Wie funktioniert DANE?
DANE (DNS-Based Authentication of Named Entities), spezifiziert in RFC 6698 und für SMTP in RFC 7672 erweitert, veröffentlicht TLSA-Records, die einen Dienst (z. B. _25._tcp.mail.example.com) und das legitime Zertifikat oder den öffentlichen Schlüssel benennen. DNSSEC sichert die Integrität gegen Manipulation auf dem Übertragungsweg. Bei SMTP erzwingen sendende MTAs TLS gegen MX-Hosts, deren TLSA-Records validieren, was Downgrade- und Rogue-Certificate-Angriffe verhindert. DANE wird auch in HTTPS verwendet, ist im E-Mail-Bereich aber am stärksten verbreitet. Es ergänzt MTA-STS um eine DNSSEC-verankerte Garantie; viele Betreiber setzen beides ein. Effektives DANE erfordert sauber gepflegte DNSSEC-Zonen und aktualisierte TLSA-Records bei Zertifikats-Rollovern.
Wie schützt man sich gegen DANE?
Schutzmaßnahmen gegen DANE kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DANE?
Übliche alternative Bezeichnungen: DNS-basierte Authentifizierung benannter Entitäten.
● Verwandte Begriffe
- network-security№ 707
MTA-STS
E-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
- network-security№ 1098
STARTTLS
SMTP-, IMAP-, POP3- und XMPP-Erweiterung nach RFC 3207, die eine Klartextverbindung nach dem Protokollgruß auf TLS upgradet und so opportunistische Verschlüsselung zwischen Mailservern und -clients ermöglicht.
- network-security№ 764
Opportunistisches TLS
Verschlüsselungshaltung, bei der zwei Parteien TLS verwenden, wenn beide es unterstützen, und sonst auf Klartext zurückfallen – typisch für SMTP zwischen Mailservern mit STARTTLS ohne starke Authentifizierung.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 345
DNSSEC
Eine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.