DANE
Что такое DANE?
DANEСемейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
DANE (DNS-Based Authentication of Named Entities) описан в RFC 6698 и для SMTP расширен в RFC 7672. Оператор публикует записи TLSA с именем сервиса (например, _25._tcp.mail.example.com), указывающие на легитимный сертификат или открытый ключ. DNSSEC обеспечивает целостность записей. В SMTP DANE заставляет отправляющие MTA принудительно применять TLS к MX, чьи TLSA проходят проверку, что нейтрализует downgrade- и rogue-certificate-атаки. DANE также применим к HTTPS, но шире всего распространён в почте. Он дополняет MTA-STS более сильной DNSSEC-привязкой; многие операторы используют оба механизма. Эффективность DANE требует корректно сопровождаемых DNSSEC-зон и обновления TLSA при ротации сертификатов.
● Примеры
- 01
Публикация TLSA-записи: партнёрские MTA отказывают в доставке к mail.example.com без ожидаемого сертификата.
- 02
Привязка открытого ключа через TLSA 3 1 1 позволяет менять сертификаты без замены ключевой пары.
● Частые вопросы
Что такое DANE?
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DANE?
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
Как защититься от DANE?
Защита от DANE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DANE?
Распространённые альтернативные названия: DNS-аутентификация именованных сущностей.