问为什么DANE协议依赖于DNSSEC？

EN

基于DNS的命名实体身份验证(DANE)协议的思想是，域名所有者发布其服务器在DNS资源记录中使用的证书的指纹。这是防止伪造证书的一项措施。希望通过TLS连接到服务器的用户可以在DNS记录中查找相应域名的证书指纹，以查看所有者是否允许使用。

这意味着DANE依赖于可以信任DNS响应的假设，而常规DNS的情况并非如此。因此，为了维护DNS记录的完整性，DANE使用了DNSSEC提供的签名机制。否则，中间人可以简单地修改TLSA记录中的指纹，而DANE将是无用的。