DANE
DANE 是什么?
DANERFC 6698 定义的协议族,利用经 DNSSEC 签名的 TLSA 记录,将服务的 TLS 证书或公钥绑定到 DNS 中,降低对公共 CA 的依赖。
DANE (DNS-Based Authentication of Named Entities) 由 RFC 6698 规定,RFC 7672 进一步将其应用于 SMTP。运营者通过发布 TLSA 记录(如 _25._tcp.mail.example.com)指明对应服务的合法证书或公钥。DNSSEC 保证记录在传输中不被篡改。在 SMTP 中,DANE 强制发送 MTA 在 TLSA 验证通过的 MX 上使用 TLS,从而阻断降级与伪证书攻击。DANE 也可用于 HTTPS 等协议,但邮件领域采纳最广。它与 MTA-STS 互补,提供基于 DNSSEC 的更强保证,许多运营者会同时部署两者。要让 DANE 真正生效,DNSSEC 区必须正确维护,证书轮换时也需同步更新 TLSA。
● 示例
- 01
发布 TLSA 记录,让合作伙伴 MTA 在 mail.example.com 未提供预期证书时拒绝投递。
- 02
通过 TLSA 3 1 1 锚定公钥,实现同一密钥对下的证书无缝轮换。
● 常见问题
DANE 是什么?
RFC 6698 定义的协议族,利用经 DNSSEC 签名的 TLSA 记录,将服务的 TLS 证书或公钥绑定到 DNS 中,降低对公共 CA 的依赖。 它属于网络安全的 网络安全 分类。
DANE 是什么意思?
RFC 6698 定义的协议族,利用经 DNSSEC 签名的 TLSA 记录,将服务的 TLS 证书或公钥绑定到 DNS 中,降低对公共 CA 的依赖。
DANE 是如何工作的?
DANE (DNS-Based Authentication of Named Entities) 由 RFC 6698 规定,RFC 7672 进一步将其应用于 SMTP。运营者通过发布 TLSA 记录(如 _25._tcp.mail.example.com)指明对应服务的合法证书或公钥。DNSSEC 保证记录在传输中不被篡改。在 SMTP 中,DANE 强制发送 MTA 在 TLSA 验证通过的 MX 上使用 TLS,从而阻断降级与伪证书攻击。DANE 也可用于 HTTPS 等协议,但邮件领域采纳最广。它与 MTA-STS 互补,提供基于 DNSSEC 的更强保证,许多运营者会同时部署两者。要让 DANE 真正生效,DNSSEC 区必须正确维护,证书轮换时也需同步更新 TLSA。
如何防御 DANE?
针对 DANE 的防御通常结合技术控制与运营实践,详见上方完整定义。
DANE 还有哪些其他名称?
常见的别称包括: 基于 DNS 的命名实体认证。
● 相关术语
- network-security№ 707
MTA-STS
RFC 8461 定义的邮件安全机制,域名可对入站 SMTP 强制启用 TLS 并固定受信任的 MX 主机,从而防御降级和 STARTTLS 剥离攻击。
- network-security№ 1098
STARTTLS
RFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。
- network-security№ 764
机会性 TLS
双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- network-security№ 345
DNSSEC
一组 DNS 扩展,通过数字签名使解析器能够验证 DNS 记录的真实性和完整性。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。