É possível criar registros DANE TLSA quando o servidor DNS não o suporta?

5

Gostaria de configurar o DANE para o domínio que lida com o meu email. Meu domínio está registrado na OVH e estou usando seus servidores DNS anycast. Eles suportam DNSSEC, mas não registros TLSA.

Existe um tipo de registro de fallback que eu possa usar? (como eu posso usar TXT se o servidor não suportar SPF etc)

    
por GDR 23.05.2014 / 15:03

2 respostas

5

Eu consegui fazer isso na OVH gerando um registro "genérico" (com TYPE52 em vez de TLSA ). Isso pode ser feito facilmente usando o hash-slinger :

$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345

Adicionar este registro no gerenciador da OVH funciona muito bem.

    
por 10.09.2014 / 11:39
1

Não.

O uso de TXT para isso no caso de SPF foi feito para permitir uma implementação mais ampla, mas não é um esquema geral, e há desvantagens para essa abordagem que impedem sua padronização (principalmente maior complexidade de aplicativos, mas há outras razões).

Se você precisar de suporte para tipos de RR incomuns (que atualmente são o TLSA), a melhor coisa a fazer é hospedar seus próprios servidores de nomes oficiais.

    
por 14.08.2014 / 22:42

Tags