Действительно ли возможно создать ДАТЧАНИНА записи TLSA, когда сервер DNS не поддерживает его?
Я хотел бы настроить ДАТЧАНИНА для домена, который обрабатывает мою электронную почту. Мой домен регистрируется в OVH, и я использую их передачу любому из узлов серверы DNS. Они поддерживают DNSSEC, но не записи TLSA.
Существует ли тип записи нейтрализации, который я могу использовать? (как я могу использовать TXT, если сервер не поддерживает SPF и т.д.),
Я смог сделать это на OVH, сгенерировав «общую» запись (с TYPE52 вместо TLSA ). Это легко сделать с помощью hash-slinger :
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
Добавление этой записи в диспетчер OVH отлично работает.
Нет.
Использование TXT для этого в случае SPF было сделано для обеспечения более широкой реализации, но это не общая схема, и у этого подхода есть недостатки, которые исключить его стандартизацию (в основном повышенная сложность приложения, но есть и другие причины).
Если вам нужна поддержка необычных типов RR (в настоящее время это TLSA), лучше всего разместить свои собственные авторитетные серверы имен.