DANE steht für „DNS-based Authentification of Name Entries“ und ist ein auf DNSSEC basierendes Protokoll.

Wofür braucht man DANE?

TLS verwendet Zertifikate, die den Absender verifizieren sollen. Diese Zertifikate stellt eine CA (Certification Authority) aus. Nachdem es einige Sicherheitslücken (z.B. Diebstahl eines Zertifikats, um im Namen einer CA Zertifikate auszustellen) gibt, sollte auf zusätzliche Sicherheit Wert gelegt werden. DANE löst dieses Problem, indem es einem Betreiber erlaubt, Zertifikate selbst zu signieren. Somit ist der Besitzer einer Domain nicht mehr von der Vertrauenswürdigkeit einer CA anhängig.

Wie funktioniert DANE?

Der Administrator eines Mailservers legt in seinem DNS einen TLSA-Eintrag an, indem er die Prüfsumme aus seinem Zertifikat einträgt.

Ein sendender Mailserver verbindet sich zu diesem Mailserver. In dieser Anfrage wird unter anderem das Zertifikat übermittelt, woraus nun der sendende Mailserver eine Prüfsumme bildet und mit dem TLSA-Eintrag seines Kommunikationspartners abgleicht. Die DNS-Abfrage ist DNSSEC gesichert. Stimmen die Prüfsummen überein, gilt die Verbindung als sicher.