DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüsselung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge.
Die Abkürzung DANE steht für DNS-based Authentication of Named Entities. Es handelt sich um ein in verschiedenen RFCs (Request for Comments) spezifiziertes Verfahren zur Prüfung von Server-Zertifikaten mithilfe des Domain Name Systems. Die maßgeblichen RFCs sind RFC 6394, RFC 6698, RFC 7218, RFC 7671, RFC 7672 und RFC 7673. DANE ermöglicht es, den per TLS(Transport Layer Security) und Zertifikate zu verschlüsselnden Verkehr abzusichern, indem die Prüfung der Zertifikate nicht mehr von der Vertrauenswürdigkeit einer Zertifizierungsstelle (Certificate Authority - CA) abhängig ist. Dies erhöht die Sicherheit, da sich Zertifikate nicht unbemerkt auswechseln lassen.
DANE wird eingesetzt für den verschlüsselten Zugriff auf Webseiten per HTTPS (Hypertext Transfer Protocol Secure) oder den verschlüsselten Austausch von E-Mails per SMTP (Simple Mail Transfer Protocol). Aus technischer Sicht verknüpft DNS-based Authentication of Named Entities X.509-Zertifikate mit zusätzlichen Einträgen im Domain Name System. Zur Absicherung der DNS-Kommunikation kommt DNSSEC zum Einsatz. DANE lässt sich auch dazu verwenden, selbst Zertifikate auszustellen, ohne eine CA hinzuzuziehen. Vorrangiges Ziel von DANE ist die Prüfung, ob das Zertifikat eines Servers mit der gewünschten Domain übereinstimmt. Verschiedene Browser wie Firefox oder Google Chrome unterstützen das Verfahren über Add-ons. Voraussetzung hierfür sind bestimmte Konfigurationsmöglichkeiten der eigenen DNS-Zone.
