DNSSEC bildet die Grundlage für eine Reihe von Erweiterungen. Mit DANE kann erreicht werden, dass Mailserver nur bestimmte Zertifikate akzeptieren, die im DNS verankert sind. Der Sicherheitsgewinn liegt hierbei im Certificate pinning, d.h. es wird die Vertrauenskette über die CAs in der PKI ausgeschaltet. Effektiv ersetzt man sie durch die Vertrauenskette der DNSSEC-Hierarchie. Diese ist aber wesentlich schwerer zu korrumpieren wie die mehr als hundert Ketten bzw. Root-CAs der PKI.

DANE

Steht ein Mailserver in einer durch DNSSEC geschützten Zone, so kann eine Checksumme des TLS-Zertifikats im DNS in Form eines TLSA-Records gehalten werden. Ein einliefernder Mailserver kann damit das vom Mailserver angebotene Zertifikat kontrollieren und so einen Man-in-the-middle-Angriff erkennen sowie die verschlüsselte Übertragung erzwingen.

Der konkrete Ablauf des DANE-Checks ist unter DNS-Checks näher beschrieben.