Gostaria de configurar o DANE para o domínio que lida com o meu email. Meu domínio está registrado na OVH e estou usando seus servidores DNS anycast. Eles suportam DNSSEC, mas não registros TLSA.
Existe um tipo de registro de fallback que eu possa usar? (como eu posso usar TXT se o servidor não suportar SPF etc)
Eu consegui fazer isso na OVH gerando um registro "genérico" (com TYPE52 em vez de TLSA ). Isso pode ser feito facilmente usando o hash-slinger :
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
Adicionar este registro no gerenciador da OVH funciona muito bem.
Não.
O uso de TXT para isso no caso de SPF foi feito para permitir uma implementação mais ampla, mas não é um esquema geral, e há desvantagens para essa abordagem que impedem sua padronização (principalmente maior complexidade de aplicativos, mas há outras razões).
Se você precisar de suporte para tipos de RR incomuns (que atualmente são o TLSA), a melhor coisa a fazer é hospedar seus próprios servidores de nomes oficiais.