StartTLS présente certaines limites qui permettent une interception, voire une modification de la transmission. L’émergence d’un protocole visant à améliorer la sécurité de ces connexions était donc nécessaire.

DANE permet d’indiquer à un serveur expéditeur l’empreinte (ou hash) du certificat X.509 utilisé par le serveur destinataire. Il pourra ainsi vérifier que ce certificat n’est pas contrefait avant l’établissement de la connexion sécurisée. En termes moins techniques, DANE est un protocole qui permet d’associer en toute sécurité un serveur à un certificat lors de l’établissement d’une connexion sécurisée par TLS.

DANE implique l’utilisation de DNSSEC afin de fiabiliser les données du DNS. Si votre domaine est déjà sécurisé par DNSSEC, la mise en place de DANE n’est pas compliquée : Il suffit d’intégrer l’empreinte du certificat de votre serveur. En théorie, DANE est utilisable avec toutes les communications qui utilisent TLS.

Pour résumer, l’exploitation de DANE implique la présence de :
– Un client et serveur DNS supportant DNSSEC.
– Un client et un serveur (SMTP, HTTP, etc) supportant DANE.
– La présence de l’empreinte du certificat du serveur, sécurisée par DNSSEC, dans le DNS du nom d’hôte destinataire.