Perché il protocollo di autenticazione basato su DNS delle entità denominate ( DANE ) dipende dal Domain Name System Estensioni di sicurezza ( DNSSEC )?
L'idea del protocollo Autenticazione basata su DNS di entità denominate è che i proprietari del dominio pubblichino l'impronta digitale di un certificato che il loro server utilizza in un record di risorse DNS. È una misura per prevenire la contraffazione del certificato. Gli utenti che desiderano connettersi al server tramite TLS possono cercare l'impronta digitale del certificato presentato nel record DNS per il nome di dominio corrispondente per vedere se è stato autorizzato dal proprietario.
Ciò significa che DANE si basa sul presupposto che le risposte DNS possono essere attendibili, il che non è il caso del normale DNS. Quindi per affermare l'integrità dei record DNS, DANE utilizza il meccanismo di firma fornito da DNSSEC. Altrimenti un man-in-the-middle potrebbe semplicemente modificare l'impronta digitale nel record TLSA e DANE sarebbe inutile.