Что такое DANE? Объяснение аутентификации именованных объектов на основе DNS (2026)
Последнее обновление:
7 Время чтения: 7 минут
Ключевые выводы
- DANE переносит проверку сертификатов TLS со сторонних центров сертификации на DNS, используя записи TLSA, подписанные с помощью DNSSEC, для установления доверия.
- Это предотвращает атаки понижения уровня безопасности STARTTLS за счет принудительного использования зашифрованных соединений вместо автоматического перехода на открытый текст.
- DANE снижает риск выдачи некорректных или скомпрометированных сертификатов, позволяя владельцам доменов точно определять, какие сертификаты являются действительными.
- DNSSEC является обязательным условием для работы DANE. Без него записи TLSA нельзя считать достоверными или проверить.
- Несмотря на свою эффективность, технология DANE пока используется не так широко, поэтому для обеспечения полной безопасности электронной почты её часто применяют в сочетании с MTA-STS и дополняют протоколом DMARC.
Аутентификация именных объектов на основе DNS (DANE) — это метод проверки сертификатов TLS с использованием DNS. Он основан на протоколе DNSSEC и записях TLSA, что позволяет гарантировать, что зашифрованные соединения не будут перехвачены или подвергнуты понижению уровня безопасности.
Проблема, для решения которой был разработан DANE
При доставке электронной почты по протоколу SMTP (Simple Mail Transfer Protocol) часто используется протокол STARTTLS для перехода на зашифрованное соединение. Проблема заключается в том, что STARTTLS работает в режиме «оpportunistic». Это означает, что в случае сбоя шифрования соединение может перейти в режим передачи данных в открытом виде. Такое понижение уровня безопасности может происходить незаметно, что позволяет злоумышленникам легко воспользоваться этим поведением для перехвата электронных писем.
Обычный путь:
Путь атаки:
Есть ещё одна проблема, связанная с традиционным TLS:
Сертификаты TLS проверяются коммерческими центрами сертификации (CA). Эти центры сертификации могут подвергаться взлому или выдавать сертификаты с ошибками. Если злоумышленник получит действительный сертификат для домена, он сможет выдать себя за этот сервер.
Эти две проблемы делают возможными атаки «человек посередине» даже при использовании TLS. DANE решает обе проблемы, перенося проверку сертификатов в DNS, защищенную протоколом DNSSEC. Это устраняет зависимость от внешних центров сертификации и предотвращает атаки с незаметным понижением уровня безопасности.
Что такое DANE?
DANE — это протокол интернет-безопасности, который позволяет владельцам доменов публиковать информацию о своих TLS-сертификатах непосредственно в DNS с помощью записей TLSA.
Эти записи защищены протоколом DNSSEC, который обеспечивает:
- Записи не могут быть изменены во время передачи
- Клиент может убедиться в подлинности ответа
Вместо того чтобы полагаться на сторонний центр сертификации, клиент проверяет сертификат на соответствие информации, опубликованной самим доменом.
Как работает DANE: пошагово
Шаг 1: Владелец домена публикует запись TLSA в DNS
Администратор домена создаёт запись ресурса TLSA (Transport Layer Security Authentication) и публикует её в своей зоне DNS. Эта запись содержит данные сертификата, которые клиенты впоследствии будут использовать для проверки.
Шаг 2: Зона DNS подписывается с помощью протокола DNSSEC
DNSSEC (расширения безопасности DNS) криптографически подписывает всю зону DNS, включая новую запись TLSA. Это создает цепочку доверия от корневой зоны DNS до записей домена, предотвращая несанкционированное вмешательство.
Шаг 3: Клиент подключается к серверу и запрашивает запись TLSA
Когда клиент (например, почтовый сервер или браузер) хочет установить соединение TLS с сервером, он сначала запрашивает в DNS запись TLSA для данного домена.
Шаг 4: Клиент проверяет достоверность ответа DNS с помощью DNSSEC
Прежде чем довериться записи TLSA, резолвер клиента проверяет подписи DNSSEC, проходя по цепочке доверия.
Шаг 5: Сервер предоставляет свой сертификат TLS
В ходе установления соединения TLS сервер отправляет клиенту свой сертификат TLS, чтобы подтвердить свою идентичность путем предоставления цепочки сертификатов.
Шаг 6: Клиент сравнивает сертификат с записью TLSA
Это наиболее важная часть проверки DANE. На этом этапе клиент извлекает соответствующую часть сертификата сервера и сравнивает её с данными, хранящимися в записи TLSA.
Шаг 7: Если данные совпадают, подключение продолжается
Если данные сертификата совпадают с записью в TLSA, проверка DANE проходит успешно, в результате чего успешно устанавливается соединение TLS.
Шаг 8: Если они не совпадают, соединение отклоняется
Если сертификат не совпадает с записью в TLSA, клиент рассматривает это как нарушение безопасности и отказывается завершать установку соединения TLS. Это изначально предотвращает успех атак типа «человек посередине».
Что такое запись TLSA?
Запись TLSA — это запись DNS, используемая протоколом DANE для определения порядка проверки сертификата TLS.
The format looks like this: <usage> <selector> <matching-type> <certificate-data>
Пример записи TLSA:
_25._tcp.mail.example.com. IN TLSA 3 1 1 (
2A3F5C7D8E9B1A2C3D4E5F67890123456789ABCDEF1234567890ABCDEF123456
)
Каждое поле выполняет свою конкретную функцию:
- Применение: Определяет, как следует сопоставлять сертификат и доверять ему
- Селектор: указывает, какая часть сертификата используется (полный сертификат или открытый ключ)
- Тип сопоставления: указывает, как хранятся данные (полное значение или хеш)
- Данные сертификата: фактическое значение или хеш, с которым необходимо провести сравнение
Значения использования сертификата
Существует четыре типа использования:
0 (PKIX-TA): Ограничение по опорной точке доверия с использованием традиционной PKI
1 (PKIX-EE): Сертификат конечного объекта, проверка которого осуществляется через PKI
2 (DANE-TA): Опорная точка доверия, определяемая через DNS
3 (DANE-EE): Сертификат конечного объекта, определяемый непосредственно в DNS
С точки зрения безопасности электронной почты наиболее актуальны варианты использования № 2 и № 3, поскольку они позволяют отказаться от использования общедоступных центров сертификации.
Где публикуются отчеты TLSA
Записи TLSA публикуются в специальных поддоменах, связанных с конкретными службами. Для SMTP это обычно выглядит следующим образом: _25._tcp.mail.example.com
DANE для электронной почты: как он обеспечивает безопасность SMTP
DANE помогает отправляющему серверу проверять подлинность сертификатов принимающего сервера. Эта проверка позволяет предотвратить понижение уровня безопасности при использовании STARTTLS и атаки «человек посередине», способствуя обеспечению безопасности SMTP-соединений.
DANE обеспечивает использование протокола TLS при передаче электронной почты, что предотвращает отправку сообщений в виде открытого текста или их подделку во время передачи.
Почему DANE требует DNSSEC
DANE полностью зависит от целостности записей DNS. Без DNSSEC записи TLSA могут подвергаться подделке, и злоумышленники могут перенаправлять клиентов на вредоносные сертификаты. Принцип этой зависимости заключается в следующем: DNSSEC подписывает ответы DNS с помощью криптографических ключей. Это позволяет клиенту убедиться, что ответ не был изменен и что данные являются подлинными. Следовательно, без DNSSEC DANE не обеспечивает никаких реальных преимуществ в плане безопасности.
Кто использует DANE?
Уровень внедрения DANE варьируется по миру, причем наиболее высокие показатели наблюдаются среди государственных учреждений Европы и организаций в США. Внедрение этой технологии набирает обороты в тех секторах, где конфиденциальность электронной почты имеет решающее значение. К числу типичных пользователей DANE относятся:
- Использование администраторов электронной почты в качестве уровня аутентификации и безопасности
- Государственные учреждения в странах Европы и США, с целью обеспечения безопасности передачи электронной почты в государственном секторе (например, немецкая компания T-Online является одним из реальных пользователей технологии DANE)
- Почтовые сервисы, такие как Comcast, Protonmail и др.
- Компания Microsoft объявила о поддержке протокола DANE для входящего SMTP с июля 2024 года.
DANE и MTA-STS: в чём разница?
И DANE, и протокол MTA-STS (Mail Transfer Agent – Strict Transport Security) предназначены для обеспечения безопасности SMTP-соединений, однако они используют разные модели доверия. В то время как MTA-STS опирается на протокол HTTPS и центры сертификации (CA), DANE использует протокол DNSSEC и систему DNS. Ниже приведены некоторые из основных различий между этими двумя протоколами:
| Характеристика | DANE | МТА-СТС |
|---|---|---|
| Требуется DNSSEC | Да | Нет |
| Местоположение политики | DNS | Файл политики HTTPS |
| Зависимость от CA | Дополнительно | Требуется |
| Защита от понижения рейтинга | Сильный | Сильный |
| Усыновление | Низкий | Высокий |
Чтобы узнать больше о MTA-STS, ознакомьтесь с нашим полным руководством «Что такое MTA-STS». Чтобы узнать, как внедрить MTA-STS в вашем домене, ознакомьтесь с нашим руководством по внедрению MTA-STS.
Как TLS-RPT работает в сочетании с DANE и MTA-STS
TLS-RPT — это протокол отчетности, который обеспечивает видимость сбоев при согласовании TLS и проблем с доставкой, вызванных неверной настройкой DANE или MTA-STS. TLS-RPT можно рассматривать как уровень видимости, расположенный поверх DANE и MTA-STS (уровней безопасности). Хотя и DANE, и MTA-STS способствуют обеспечению безопасности передачи электронной почты с помощью TLS, существует серьезный пробел в понимании того, когда и почему происходит сбой доставки.
Именно здесь на помощь приходит TLS-RPT. Протокол отчетности SMTP TLS (TLS-RPT) отправляет принимающим серверам ежедневные сводные отчеты, содержащие следующие сведения:
- Сбои при установке соединения TLS
- Проблемы с проверкой сертификатов
- Несоответствия в политиках (MTA-STS или DANE)
- Сбои при доставке из-за принудительного использования TLS
Как проверить, есть ли у вашего домена запись DANE/TLSA
Чтобы проверить настройку DANE, необходимо:
- Существует ли запись TLSA для вашего почтового сервера
- Включен ли протокол DNSSEC и является ли он действительным
- Соответствует ли сертификат записи в базе данных TLSA
Вы можете воспользоваться бесплатным инструментом DANE Record Checker от PowerDMARC, чтобы быстро проверить правильность своей настройки.
Как внедрить DANE для электронной почты
Чтобы настроить DANE для своей электронной почты, выполните следующие действия:
Шаг 1: Включить DNSSEC
DANE не может работать без DNSSEC, поэтому первым делом необходимо настроить DNSSEC через вашего провайдера DNS или регистратора. Вы можете проверить, настроен ли DNSSEC для вашего домена, с помощью нашего инструмента проверки DNSSEC.
Шаг 2: Получите данные вашего сертификата TLS
Извлеките хэш сертификата или открытого ключа с вашего почтового сервера.
Шаг 3: Создание записи TLSA
Определите правильное использование, селектор и тип сопоставления, а затем опубликуйте запись TLSA в соответствующем поддомене.
Шаг 4: Проверить запись
Воспользуйтесь нашим инструментом проверки DANE, чтобы убедиться в правильности записи и работоспособности протокола DNSSEC.
Шаг 5: Отслеживание изменений в сертификатах
При продлении или замене сертификата TLS необходимо обновить запись TLSA. Невыполнение этого требования может привести к сбоям в доставке почты.
Заключительные слова
Если вы ещё не защищаете транспортный уровень своей электронной почты с помощью MTA-STS, DANE может стать отличным отправной точкой. Особенно в отраслях, работающих с конфиденциальными данными, таких как финансовые учреждения и государственные органы, защита сообщений от перехвата имеет решающее значение.
Однако DANE не может предотвратить атаки типа «спуфинг» или «фишинг», осуществляемые с использованием вашего собственного доменного имени. Для этого необходим протокол DMARC. Хотите получить комплексный пакет решений по обеспечению безопасности домена, который полностью обеспечит аутентификацию вашей электронной почты? Закажите демонстрацию у наших экспертов уже сегодня.
Часто задаваемые вопросы
DANE — это то же самое, что и DNSSEC?
Нет, DANE и DNSSEC — это не одно и то же, хотя для работы DANE требуется DNSSEC. DNSSEC обеспечивает защиту записей DNS, а DANE использует DNSSEC для безопасной публикации информации о сертификатах.
Мне нужны и DANE, и MTA-STS?
Не обязательно, но использование обоих протоколов обеспечивает более широкую совместимость и более надежную защиту. В целом, MTA-STS используется чаще, чем DANE.
Заменяет ли DANE протоколы SPF, DKIM или DMARC?
Нет. DANE обеспечивает безопасность транспортного уровня, тогда как SPF, DKIM и DMARC отвечают за аутентификацию электронной почты и защиту от подделки адресов. Для обеспечения всесторонней безопасности электронной почты необходим многоуровневый подход, сочетающий в себе все протоколы, а также постоянный мониторинг и обновления.
Что произойдет, если данные в моей карточке TLSA неверны?
Если ваша запись TLSA содержит ошибки, почтовые серверы, поддерживающие протокол DANE, будут отклонять подключения. Это может привести к сбоям в доставке электронной почты. Для устранения любых неполадок важно проверить настройки DANE (в том числе правильность записи TLSA).
Какие почтовые сервисы поддерживают DANE?
Поддержка протокола DANE по всему миру осуществляется по-разному. Некоторые европейские провайдеры и организации, занимающиеся вопросами безопасности, требуют его использования, однако на глобальном уровне его применение пока остается ограниченным.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Что такое DANE? Объяснение аутентификации именованных объектов на основе DNS (2026) - 20 апреля 2026 г.
- Основы безопасности VPN: лучшие практики по защите вашей конфиденциальности - 14 апреля 2026 г.
- Обзор MXtoolbox: функции, отзывы пользователей, плюсы и минусы (2026) - 14 апреля 2026 г.
