DANE
¿Qué es DANE?
DANEFamilia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
DANE (DNS-Based Authentication of Named Entities), especificado en el RFC 6698 y para SMTP en el RFC 7672, publica registros TLSA que identifican un servicio (por ejemplo _25._tcp.mail.example.com) y el certificado o clave pública legítimos. La integridad de DNSSEC garantiza que no puedan manipularse en tránsito. En SMTP, DANE obliga al MTA emisor a forzar TLS hacia los MX cuyos TLSA validen, frustrando ataques de degradación y certificados falsos. También se aplica a HTTPS y otros protocolos, aunque su adopción es mayor en correo. Complementa MTA-STS aportando una garantía más fuerte anclada en DNSSEC; muchos operadores los combinan. Un DANE eficaz exige zonas DNSSEC mantenidas y actualización de TLSA en cada rotación de certificado.
● Ejemplos
- 01
Publicar un registro TLSA para que los MTA socios rechacen entregar a mail.example.com sin el certificado esperado.
- 02
Anclar la clave pública mediante TLSA 3 1 1 para permitir rotaciones de certificado sin cambiar la clave.
● Preguntas frecuentes
¿Qué es DANE?
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DANE?
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
¿Cómo defenderse de DANE?
Las defensas contra DANE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DANE?
Nombres alternativos comunes: Autenticación de entidades nombradas basada en DNS.