DANE
¿Qué es DANE?
DANEFamilia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
DANE (DNS-Based Authentication of Named Entities), especificado en el RFC 6698 y para SMTP en el RFC 7672, publica registros TLSA que identifican un servicio (por ejemplo _25._tcp.mail.example.com) y el certificado o clave pública legítimos. La integridad de DNSSEC garantiza que no puedan manipularse en tránsito. En SMTP, DANE obliga al MTA emisor a forzar TLS hacia los MX cuyos TLSA validen, frustrando ataques de degradación y certificados falsos. También se aplica a HTTPS y otros protocolos, aunque su adopción es mayor en correo. Complementa MTA-STS aportando una garantía más fuerte anclada en DNSSEC; muchos operadores los combinan. Un DANE eficaz exige zonas DNSSEC mantenidas y actualización de TLSA en cada rotación de certificado.
● Ejemplos
- 01
Publicar un registro TLSA para que los MTA socios rechacen entregar a mail.example.com sin el certificado esperado.
- 02
Anclar la clave pública mediante TLSA 3 1 1 para permitir rotaciones de certificado sin cambiar la clave.
● Preguntas frecuentes
¿Qué es DANE?
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DANE?
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
¿Cómo funciona DANE?
DANE (DNS-Based Authentication of Named Entities), especificado en el RFC 6698 y para SMTP en el RFC 7672, publica registros TLSA que identifican un servicio (por ejemplo _25._tcp.mail.example.com) y el certificado o clave pública legítimos. La integridad de DNSSEC garantiza que no puedan manipularse en tránsito. En SMTP, DANE obliga al MTA emisor a forzar TLS hacia los MX cuyos TLSA validen, frustrando ataques de degradación y certificados falsos. También se aplica a HTTPS y otros protocolos, aunque su adopción es mayor en correo. Complementa MTA-STS aportando una garantía más fuerte anclada en DNSSEC; muchos operadores los combinan. Un DANE eficaz exige zonas DNSSEC mantenidas y actualización de TLSA en cada rotación de certificado.
¿Cómo defenderse de DANE?
Las defensas contra DANE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DANE?
Nombres alternativos comunes: Autenticación de entidades nombradas basada en DNS.
● Términos relacionados
- network-security№ 707
MTA-STS
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
- network-security№ 1098
STARTTLS
Extensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo.
- network-security№ 764
TLS oportunista
Postura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 345
DNSSEC
Conjunto de extensiones del DNS que usa firmas digitales para que los resolutores verifiquen la autenticidad e integridad de los registros DNS.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.