DANEプロトコルがDNSSECに依存しているのはなぜですか？

名前付きエンティティのDNSベースの認証（DANE）プロトコルの考え方は、ドメイン所有者が、サーバーがDNSリソースレコードで使用する証明書のフィンガープリントを公開するというものです。証明書偽造防止対策です。 TLS経由でサーバーに接続するユーザーは、対応するドメイン名のDNSレコードで提示された証明書のフィンガープリントを検索して、所有者によって許可されているかどうかを確認できます。

これは、DANEがDNS応答を信頼できるという前提に依存していることを意味します。これは、通常のDNSの場合とは異なります。したがって、DNSレコードの整合性をアサートするために、DANEはDNSSECが提供する署名メカニズムを使用します。そうしないと、中間者がTLSAレコードのフィンガープリントを変更するだけで、DANEは役に立たなくなります。