A Google vajon miért nem alkalmazza a Gmail-nél a DANE-t (tegyük hozzá, sajnos még sok más e-mail szolgáltató sem)?

Elvileg jól hangzik, gyakorlatilag ha ennyire egyszerű lenne, már rég bevezették volna.

A DANE a DNSSEC-re alapoz, amit DNS szolgáltatók szintjén kell implementálni, és ez még mindig folyamatban van. Megbízható DNSSEC nélkül nincs megbízható DANE. Ami azt illeti, DANE használatával a DNS szolgáltatók válnak ugyanúgy képessé hamis tanúsítványok kiadására, mint a CA-k jelenleg. Egy kompromittált DNS szolgáltató mondjuk jellemzően kevesebb felhasználót ér el, ezért kevésbé veszélyes, mint egy kompromittált CA, viszont (mivel még feltehetőleg nem veszik annyira komolyan a biztonság kérdését) nem is feltétlenül állnak készen a CA-k szerepének átvételére. Szóval eléggé bizonytalan lábakon áll ez az egész DNSSEC/DANE ahhoz, hogy ne siessék el a bevezetését.

Inkább azt mondanám, hogy a DANE is sebezhető. Bár a CA-kon keresztül történő támadást már demonstrálták, a DNSSEC szolgáltatókon keresztül történő támadást meg tudtommal még nem.

A kisebb e-mail szolgáltatók, akik nem engedhetik meg maguknak a CA regisztrációt, mindenképpen előrébb vannak DANE használatával, mint a jó öreg kódolatlan HTTP-vel. A nagyobbaknak, főleg akik saját CA-t üzemeltetnek (pl. Gmail) már valszeg kevésbé előnyös, akár hibaforrás is lehet.