DANE
O que é DANE?
DANEFamília de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
O DANE (DNS-Based Authentication of Named Entities), especificado no RFC 6698 e estendido ao SMTP no RFC 7672, publica registos TLSA que identificam um serviço (por exemplo _25._tcp.mail.example.com) e o certificado ou chave pública legítimos. A integridade DNSSEC garante que estes registos não são adulterados em trânsito. No SMTP, o DANE obriga o MTA emissor a impor TLS para MX cujos TLSA validam, derrotando downgrade e certificados forjados. O DANE também serve HTTPS e outros protocolos, mas é mais adotado em e-mail. Complementa o MTA-STS com uma garantia DNSSEC mais forte e muitos operadores usam ambos. É essencial manter zonas DNSSEC corretas e atualizar TLSA em cada rotação de certificado.
● Exemplos
- 01
Publicar um registo TLSA para que MTA parceiros recusem entregar a mail.example.com sem o certificado esperado.
- 02
Fixar a chave pública via TLSA 3 1 1 para permitir rotação de certificados sem mudar de par de chaves.
● Perguntas frequentes
O que é DANE?
Família de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas. Pertence à categoria Segurança de rede da cibersegurança.
O que significa DANE?
Família de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
Como funciona DANE?
O DANE (DNS-Based Authentication of Named Entities), especificado no RFC 6698 e estendido ao SMTP no RFC 7672, publica registos TLSA que identificam um serviço (por exemplo _25._tcp.mail.example.com) e o certificado ou chave pública legítimos. A integridade DNSSEC garante que estes registos não são adulterados em trânsito. No SMTP, o DANE obriga o MTA emissor a impor TLS para MX cujos TLSA validam, derrotando downgrade e certificados forjados. O DANE também serve HTTPS e outros protocolos, mas é mais adotado em e-mail. Complementa o MTA-STS com uma garantia DNSSEC mais forte e muitos operadores usam ambos. É essencial manter zonas DNSSEC corretas e atualizar TLSA em cada rotação de certificado.
Como se defender contra DANE?
As defesas contra DANE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DANE?
Nomes alternativos comuns: Autenticação DNS de entidades nomeadas.
● Termos relacionados
- network-security№ 707
MTA-STS
Mecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
- network-security№ 1098
STARTTLS
Extensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
- network-security№ 764
TLS oportunista
Postura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- network-security№ 345
DNSSEC
Conjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.