In che modo l'autenticazione basata su DNS delle entità denominate ( DANE ) rende Autorità di certificazione (< a href="https://en.m.wikipedia.org/wiki/Certificate_authority"> CA ) obsoleto?
In altre parole: com'è tecnicamente possibile che DANE non abbia bisogno delle autorità di certificazione?
DANE rende possibile che ogni proprietario di un dominio pubblichi il suo certificato all'interno del DNS, cioè completamente gestito dal proprietario del dominio che è il proprietario del certificato. Ma, DANE ha bisogno di DNSSec perché altrimenti tali record potrebbero essere falsificati, il che costituirebbe un grosso problema con i certificati. Pertanto, mentre DANE non fa affidamento su una gerarchia di certificati per costruire una catena su una CA radice affidabile, si basa ancora su un concetto simile: una gerarchia di chiavi con chiavi radice attendibili.
La principale differenza con i certificati rilasciati dalla CA è che il proprietario del dominio può creare completamente tutti i certificati appartenenti al suo dominio stesso e inserirlo in questa gerarchia di chiavi affidabili. Revoca simile è più facile poiché la chiave deve essere semplicemente rimossa dal DNS. Ciò ovviamente richiede che il proprietario del dominio sia in grado di gestire i propri record DNS e che questi siano protetti con DNSSec.