Ce este DANE?
Asociaza certificatele SSL cu inregistrarile DNS
Definiție DANE
DANE (DNS-based Authentication of Named Entities) permite asocierea directa a certificatelor SSL cu domeniul prin intermediul DNS-ului. Functioneaza cu DNSSEC si elimina nevoia de a avea incredere in sute de autoritati de certificare. Este folosit mai ales pentru securizarea serverelor de email.
De ce contează DANE
DANE elimina dependenta de autoritatile de certificare publice prin legarea certificatului SSL direct de DNS prin inregistrari TLSA — chiar daca un CA este compromis, conexiunea ramane sigura. Protocolul este esential pentru securitatea email server-to-server, unde SMTP STARTTLS este vulnerabil fara o metoda de verificare a certificatelor.
Cum verifici DANE
SoftAudit cauta inregistrari TLSA in zona DNS a domeniului si verifica ca hash-ul certificatului din DNS corespunde cu cel prezentat de server pe portul specificat (443 pentru HTTPS, 25 pentru SMTP). Valideaza campurile usage, selector si matching type conform RFC 6698.
Verifică configurarea DNS →Greșeli frecvente
Publicarea unui TLSA record fara DNSSEC activ este inutila — DANE necesita DNSSEC pentru a garanta autenticitatea inregistrarii, altfel un atacator poate falsifica si TLSA. Neactualizarea hash-ului TLSA la reinnoirea certificatului SSL cauzeaza esecuri de conexiune pentru clientii care valideaza DANE.
Bune practici
Implementeaza DANE in combinatie cu DNSSEC activat si testat. Publica doua inregistrari TLSA — una pentru certificatul curent si una pentru cel viitor (rollover) — pentru a evita downtime la reinnoire. Pentru email, usage type 3 (DANE-EE) cu selector 1 (SPKI) si matching type 1 (SHA-256) ofera cel mai bun echilibru intre securitate si mentenanta.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica dane pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este DANE?
DANE (DNS-based Authentication of Named Entities) permite asocierea directa a certificatelor SSL cu domeniul prin intermediul DNS-ului. Functioneaza cu DNSSEC si elimina nevoia de a avea incredere in sute de autoritati de certificare. Este folosit mai ales pentru securizarea serverelor de email.
De ce este important DANE pentru un website?
DANE elimina dependenta de autoritatile de certificare publice prin legarea certificatului SSL direct de DNS prin inregistrari TLSA — chiar daca un CA este compromis, conexiunea ramane sigura. Protocolul este esential pentru securitatea email server-to-server, unde SMTP STARTTLS este vulnerabil fara o metoda de verificare a certificatelor.