名前付きエンティティのDNSベースの認証(DANE)の目的は何ですか?また、ドメインネームシステムセキュリティ拡張機能(DNSSEC)とどのように関連していますか?
次に、DANEが正しく構成されていることをどのように確認できますか?ローカルツールまたはオンラインツールを使用します。そして、このチェックを実行する既知のNmap NSEスクリプトはありますか?
DANEを使用すると、(ドメイン所有者として)ドメインの証明書を生成できるCAを指定できます。これにより、不正なCaが証明書を発行するのを防ぎます(DANEを使用して証明書を検証するクライアントによって無効化されます)。
Wikipedia から:
DANEを使用すると、ドメイン名の管理者は、ドメインネームシステム(DNS)に格納することにより、そのドメインのTLSクライアントまたはサーバーで使用されるキーを認証できます。 DANEのセキュリティモデルが機能するには、DNSレコードがDNSSECで署名されている必要があります。
DANE実装を検証できるオンラインツールを次に示します。 https://dane.sys4.de/common_mistakes
DANEの主な目的は、DNSプロバイダーがドメインの証明書をDNSレコードとして提供できるようにすることです。現在CAが実行している作業、具体的にはドメインの検証、つまり公開キーとドメインの照合は、CAではなくDNSプロバイダーによって行われます。
このシナリオではDNSレコードを信頼する必要があるため、DNSSECはDANEの要件です。