DANE
Что такое DANE?
DANEСемейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
DANE (DNS-Based Authentication of Named Entities) описан в RFC 6698 и для SMTP расширен в RFC 7672. Оператор публикует записи TLSA с именем сервиса (например, _25._tcp.mail.example.com), указывающие на легитимный сертификат или открытый ключ. DNSSEC обеспечивает целостность записей. В SMTP DANE заставляет отправляющие MTA принудительно применять TLS к MX, чьи TLSA проходят проверку, что нейтрализует downgrade- и rogue-certificate-атаки. DANE также применим к HTTPS, но шире всего распространён в почте. Он дополняет MTA-STS более сильной DNSSEC-привязкой; многие операторы используют оба механизма. Эффективность DANE требует корректно сопровождаемых DNSSEC-зон и обновления TLSA при ротации сертификатов.
● Примеры
- 01
Публикация TLSA-записи: партнёрские MTA отказывают в доставке к mail.example.com без ожидаемого сертификата.
- 02
Привязка открытого ключа через TLSA 3 1 1 позволяет менять сертификаты без замены ключевой пары.
● Частые вопросы
Что такое DANE?
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DANE?
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
Как работает DANE?
DANE (DNS-Based Authentication of Named Entities) описан в RFC 6698 и для SMTP расширен в RFC 7672. Оператор публикует записи TLSA с именем сервиса (например, _25._tcp.mail.example.com), указывающие на легитимный сертификат или открытый ключ. DNSSEC обеспечивает целостность записей. В SMTP DANE заставляет отправляющие MTA принудительно применять TLS к MX, чьи TLSA проходят проверку, что нейтрализует downgrade- и rogue-certificate-атаки. DANE также применим к HTTPS, но шире всего распространён в почте. Он дополняет MTA-STS более сильной DNSSEC-привязкой; многие операторы используют оба механизма. Эффективность DANE требует корректно сопровождаемых DNSSEC-зон и обновления TLSA при ротации сертификатов.
Как защититься от DANE?
Защита от DANE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DANE?
Распространённые альтернативные названия: DNS-аутентификация именованных сущностей.
● Связанные термины
- network-security№ 707
MTA-STS
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
- network-security№ 1098
STARTTLS
Расширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты.
- network-security№ 764
Оппортунистический TLS
Подход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 345
DNSSEC
Набор расширений DNS, который использует цифровые подписи, чтобы резолверы могли проверить подлинность и целостность DNS-записей.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.