Questo non è ciò per cui DANE è stato inventato. I record TLSA devono fornire maggiore sicurezza principalmente per connettersi a endpoint di trasporto (ad esempio, porte TCP) su host denominati , in modo che i certificati per i nomi host possano essere indipendenti dal certificato autorità. Con DNSSEC, questo può essere ottenuto in modo crittograficamente sicuro.
Alcuni lo considerano uno svantaggio, che qualcuno che controlla un livello di nomi di dominio può controllare tutti i nomi e i certificati presenti su quei nomi. In realtà i proprietari del dominio radice (.) Possono falsificare in modo sicuro qualsiasi nome host e con DANE, anche un certificato sicuro.
RFC6698 lo spiega in questo modo:
DNS-Based Authentication of Named Entities (DANE) offers the option
to use the DNSSEC infrastructure to store and sign keys and
certificates that are used by TLS. DANE is envisioned as a
preferable basis for binding public keys to DNS names...
Esiste (almeno una) proposta correlata di memorizzare la posizione delle chiavi PGP dell'utente nel DNS dei loro domini di posta nei record TXT, ma lo scopo principale è rendere più semplice la ricerca di una chiave, non di verificare effettivamente esso.
C'è IS uno standard proposto RFC4398 per archiviare effettivamente i certificati, ma poiché è stato creato prima che DNSSEC fosse diffuso, si consiglia di non memorizzare interi certificati se causerebbero una risposta UDP superiore a 512 byte. Nemmeno a me sembra che sia ampiamente utilizzato.
Dal momento che tutte le verifiche degli utenti avvengono nel software server che richiede una configurazione aggiuntiva, di solito c'è poco bisogno di aspettarsi certificati client emessi dalla CA ufficiale e / o un modo standardizzato di memorizzare copie aggiuntive di detti certificati. Sei effettivamente libero di implementare tali verifiche nel tuo programma / sito.
Se ritieni che la compromissione della CA possa rendere non validi i certificati utente, potresti essere più semplice aggiungere ogni certificato utente singolarmente come certificato attendibile, ad esempio.