DNSサーバーがサポートしていない場合にDANETLSAレコードを作成することは可能ですか?
メールを処理するドメインにDANEを設定したいのですが。私のドメインはOVHに登録されており、エニーキャストDNSサーバーを使用しています。 DNSSECはサポートしていますが、TLSAレコードはサポートしていません。
使用できるフォールバックレコードタイプはありますか? (サーバーがSPFなどをサポートしていない場合はTXT)を使用できます)
「一般的な」レコードを生成することで、OVHでそれを行うことができました(TYPE52TLSAの代わりに)。これは、 hash-slinger :を使用して簡単に実行できます。
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
このレコードをOVHマネージャーに追加することは問題なく機能します。
番号。
SPFの場合にこれにTXTを使用することは、より広範な実装を可能にするために行われましたが、これは一般的なスキームではなく、その標準化を妨げる(ほとんどの場合増加する)アプローチには欠点があります。アプリケーションの複雑さですが、他の理由があります)。
異常なRRtype(現時点ではTLSA)のサポートが必要な場合は、独自の権威ネームサーバーをホストするのが最善の方法です。