当DNS服务器不支持DANE TLSA记录时，是否有可能创建它？

Question

我想为处理我的电子邮件的域名设置DANE。我的域名在OVH注册，我正在使用他们的anycast DNS服务器。他们确实支持DNSSEC，但不支持TLSA记录。

有我可以使用的后备记录类型吗？(就像我可以使用TXT，如果服务器不支持SPF等)

Answer 1

我已经能够在OVH上生成一个“通用”记录(使用TYPE52而不是TLSA)。使用散列可以很容易地做到这一点：

$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345

在OVH管理器中添加此记录可以正常工作。

Answer 2

不是的。

在SPF的情况下，使用TXT是为了允许更广泛的实施，但这不是一个一般的计划，这种方法有一些缺点，排除了它的标准化(主要是增加了应用程序的复杂性，但还有其他原因)。

如果您需要对不寻常的RRtypes (目前是TLSA )的支持，最好的做法就是托管您自己的权威名称服务器。