DANE 允许您（作为域所有者）指定允许为您的域生成证书的可能 CA。这可以防止流氓 Ca 颁发证书（它将被使用 DANE 验证证书的客户端无效）。

来自维基百科：

DANE 使域名管理员能够通过将密钥存储在域名系统 (DNS) 中来验证该域的 TLS 客户端或服务器中使用的密钥。DANE 需要使用 DNSSEC 对 DNS 记录进行签名，以使其安全模型正常工作。

这是一个可以验证 DANE 实现的在线工具：https ://dane.sys4.de/common_mistakes

DANE 的主要目标是允许 DNS 提供商为域提供证书作为 DNS 记录。现在由 CA 执行的工作——特别是域验证，即将公钥与域匹配——将由 DNS 提供商而不是 CA 来完成。

由于在这种情况下需要信任 DNS 记录，因此 DNSSEC 是 DANE 的要求。