Como adicionar DANE / TLSA em um subdomínio curinga?

2

Gostaria de ativar o DANE / TLSA em * .example.com para https.

Para ativá-lo em example.com, posso fazer isso (usei o TYPE52 em vez do TLSA porque meu provedor de DNS não está ciente do DANE):

_443._tcp.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

O curinga não é permitido no meio, então não posso fazer isso (certo?):

_443._tcp.*.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

Mas ative-o em * .example.com, a única maneira que encontrei é (a primeira linha já estava lá para redirecionar * .example.com nos mesmos IPs):

*                         IN CNAME  example.com.
example.com.              IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

Funciona, mas é falsamente ativado para todos os protocolos / portas (ssh, imaps, ...)

Eu senti falta de algo?

Devo adicionar explicitamente todos os subdomínios em vez de usar um curinga?

    
por Tom 11.08.2015 / 15:50

1 resposta

2

Eu não acredito que você tenha perdido nada. Pelo menos não para um servidor de nomes que serve dados estáticos, o que provavelmente é sua única opção de qualquer forma, já que você precisa do DNSSEC.

Em geral, se for possível, você provavelmente deve adicionar os nomes que estão realmente em uso em vez de usar curingas. (É claramente melhor do ponto de vista técnico, no entanto, geralmente são demandas de negócios que levam as pessoas a usar curingas.)

    
por 11.08.2015 / 17:02