基于DNS的命名实体认证(DANE)的目的是什么?它与DNSSEC的关系如何？

Question

基于DNS的实体认证(DANE)的目的是什么？它与域名系统安全扩展(DNSSEC)有什么关系？

第二，如何验证DANE的配置是否正确？使用本地工具或联机工具。是否有已知的Nmap NSE脚本执行此检查？

Answer 1

DANE允许您(作为域所有者)指定允许为您的域生成证书的可能CA。这可以防止流氓Ca颁发证书(使用DANE验证证书的客户端将使其失效)。

来自维基百科：

DANE使域名管理员能够通过将密钥存储在域名系统(DNS)中来验证该域的TLS客户端或服务器中使用的密钥。DANE需要与DNSSEC签署DNS记录才能使其安全模型工作。

下面是一个可以验证DANE实现的在线工具：https://dane.sys4.de/common_错误

Answer 2

DANE的主要目标是允许DNS提供程序作为DNS记录为域提供证书。现在由CA执行的工作--特别是域验证，即将公钥与域匹配--将由DNS提供者而不是CA来完成。

由于在此场景中需要信任DNS记录，因此DNSSEC是DANE的一个要求。