Gostaria de ativar o DANE / TLSA em * .example.com para https.
Para ativá-lo em example.com, posso fazer isso (usei o TYPE52 em vez do TLSA porque meu provedor de DNS não está ciente do DANE):
_443._tcp.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89
O curinga não é permitido no meio, então não posso fazer isso (certo?):
_443._tcp.*.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89
Mas ative-o em * .example.com, a única maneira que encontrei é (a primeira linha já estava lá para redirecionar * .example.com nos mesmos IPs):
* IN CNAME example.com.
example.com. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89
Funciona, mas é falsamente ativado para todos os protocolos / portas (ssh, imaps, ...)
Eu senti falta de algo?
Devo adicionar explicitamente todos os subdomínios em vez de usar um curinga?
Eu não acredito que você tenha perdido nada. Pelo menos não para um servidor de nomes que serve dados estáticos, o que provavelmente é sua única opção de qualquer forma, já que você precisa do DNSSEC.
Em geral, se for possível, você provavelmente deve adicionar os nomes que estão realmente em uso em vez de usar curingas. (É claramente melhor do ponto de vista técnico, no entanto, geralmente são demandas de negócios que levam as pessoas a usar curingas.)