DANE – DNS-based Authentication of Named Entities

DANE, DNS-based Authentication of Named Entities, bezeichnet eine Protokollfamilie, die die DNSSEC-Infrastruktur zur Authentisierung verwendet. Solche Erweiterungen sind möglich, weil sich in DNS-Zonen der Server nicht nur IP-Adressen, sondern auch andere Informationen speichern lassen; für jeden Datentyp gibt es eigene Spezifikationen. Die zugehörigen Daten landen in einem RRset -- einem Satz von Resource Records.

SSHFP ist die erste Anwendung, die auf DNSSEC aufsetzt. Damit lassen sich SSH-Host-Keys anhand von im DNS publizierten SSH-Fingerprints verifizieren. Größere Aufmerksamkeit in der Öffentlichkeit erhielt DANE/TLSA. Damit validieren SMTP-Mail-Server ihre TLS-Zertifikate gegenseitig (Transport Layer Security), sichern also den Mail-Transport ab. Die Zuordnung zwischen TLS-Zertifikat und Domain übernimmt der Verwalter der jeweiligen Domain – er trägt dafür in die entsprechende Zonen-Datei einen TLSA RRSet ein. Dieses Konzept lässt sich erweitern, um eine Mail-Adresse an einen Benutzerschlüssel zu binden. DANE/SMIMEA und DANE/OPENPGPKEY legen fest, wie S/MIME-Fingerprints (Hashes) und OpenPGP-Schlüssel im DNSSEC hinterlegt werden. Auf ähnliche Art publiziert man auch IPSec-VPN-Schlüssel im DNSSEC.

Wie DANE für Mail-Server im Detail funktioniert, wie man es einrichtet und wie DANE bei der Mail-Verschlüsselung helfen kann, beschreiben diese Artikel:

Alle Beiträge zu: DANE