Die Protokollfamilie DANE (DNS-based Authentication of Named Entities) verwendet statt automatisch mit verschlüsselten Emails mitversandter öffentlicher Schlüssel, denen man ja nicht ansehen kann, wem sie wirklich gehören, die DNSSEC-Infrastruktur zur Authentisierung.
In den DNS-Zonen, lassen sich nicht nur IP-Adressen, sondern auch andere Informationen ablegen – für jeden möglichen Datentyp gibt es eigene Spezifikationen.
So lässt sich mit der auf DNSSEC aufsetzenden Anwendung SSHFP ein SSH-Host-Key anhand eines im DNS publizierten SSH-Fingerprints verifizieren.
Eine größere öffentliche Aufmerksamkeit erhielt aber DANE/TLSA, mit dem SMTP-Mailserver ihre TLS-Zertifikate gegenseitig (Transport Layer Security) validieren und so den Mail-Transport absichern.
Die Zuordnung von TLS-Zertifikat und Domain übernimmt dabei der Verwalter der jeweiligen Domain –dazu trägt er in die entsprechende Zonen-Datei einen TLSA RRSet ein. Dieses Konzept lässt sich erweitern, um damit eine Mailadresse an einen Benutzerschlüssel zu binden.
Gerade in Zeiten, in denen eine starke Verschlüsselung die einzige Absicherung gegen abhörwütige Politiker und Beamte darstellt, ist diese Vereinfachung ein Segen.
Wer jemals versucht hat, Outlook, Thunderbird oder einen anderen Mailclient für verschlüsselten Mailaustausch einzurichten und nicht schon daran gescheitert ist, dürfte spätestens zu dem Zeitpunkt aufgegeben haben, als er bemerkte, dass man mit so gut wie keinem „normalen“ Mailbenutzer einen verschlüsselten Mailaustausch zustande bringt.
Die DANE-Variante erkennt an dem Eintrag (SMIMEA Resource Record) im Nameserver, daß der Empfänger gerne verschlüsselt kommunizieren will und nutzt das im DNS eingetragene Zertifikat dafür – und das vollautomatisch.
Der Eigentümer der Domain behält auch selbst die Kontrolle und kann Schlüssel auch durch andere ersetzen oder sie löschen. Dazu kann man sogar selbst signierte S/MIME-Schlüssel verwenden, was bei CA-basierter Vertrauenskette dazu führt, dass der Empfänger dafür manuell Ausnahmeregeln im Mailer oder im Betriebssystem eingeben müsste – und was solche Schlüssel deshalb für diesen Zweck nahezu unbrauchbar macht.
Es gibt zurzeit leider noch keine Mail-Clients, die für SMIMEA ausgelegt sind, aber Verisign arbeitet aktuell schon an einem SMIMEA-Plugin für Thunderbird, der in Kürze verfügbar sein soll.
