DANE rende possibile che ogni proprietario di un dominio pubblichi il suo certificato all'interno del DNS, cioè completamente gestito dal proprietario del dominio che è il proprietario del certificato. Ma, DANE ha bisogno di DNSSec perché altrimenti tali record potrebbero essere falsificati, il che costituirebbe un grosso problema con i certificati. Pertanto, mentre DANE non fa affidamento su una gerarchia di certificati per costruire una catena su una CA radice affidabile, si basa ancora su un concetto simile: una gerarchia di chiavi con chiavi radice attendibili.
La principale differenza con i certificati rilasciati dalla CA è che il proprietario del dominio può creare completamente tutti i certificati appartenenti al suo dominio stesso e inserirlo in questa gerarchia di chiavi affidabili. Revoca simile è più facile poiché la chiave deve essere semplicemente rimossa dal DNS. Ciò ovviamente richiede che il proprietario del dominio sia in grado di gestire i propri record DNS e che questi siano protetti con DNSSec.