DANE (DNS-based Authentication of Named Entities)

K čemu protokol DANE slouží?

DANE je bezpečnostní protokol, který s pomocí TLSA DNS záznamů a DNSSEC zaručí, že odesílaná e-mailová zpráva bude doručena na skutečný (nepodvržený) poštovní server adresáta, a že tato zpráva bude adresátovi odeslána výhradně šifrovaně (pokud adresát tento protokol také podporuje). Výsledkem je zamezení případných pokusů o odposlech komunikace třetí stranou.

Jaké výhody přináší DANE?

1. Vyšší bezpečnost: DANE zajišťuje, že e-maily jsou šifrovány pomocí správných certifikátů, což zvyšuje ochranu proti útokům typu Man-in-the-Middle (MitM).
2. Ochrana proti spoofingu: DANE pomáhá zamezit podvržení certifikátů a zajišťuje, že komunikace probíhá opravdu s deklarovaným serverem.
3. Integrace s DNSSEC: Protokol DANE využívá DNSSEC, což zajišťuje integritu a autenticitu DNS záznamů, a tím chrání před neoprávněnou manipulací s nimi.

Jak to funguje v praxi?

Klient (server) podporující DANE protokol při zahájení TLS komunikace získá v DNS zóně TLSA záznamy ve tvaru _port._transport.server., které  následně  využije pro ověření certifikátu.  Dopadne-li ověření úspěšně, bude certifikát považován za autentický a klient bude pokračovat v komunikaci. V opačném případě je certifikát považován za podvržený a klient komunikaci ukončí.