如何在通配符子域上添加DANE/TLSA？

Question

我想在*.example.com上为https启用DANE/TLSA。

要在example.com上激活它，我可以这样做(我使用的是TYPE52而不是TLSA，因为我的DNS提供者不知道DANE)：

_443._tcp.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

中间不允许通配符，所以我不能这样做(对吗？)：

_443._tcp.*.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

但是在*.example.com上激活它，我找到的唯一方法是(第一行已经在同一个it上重定向*.example.com )：

*                         IN CNAME  example.com.
example.com.              IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

它工作，但它错误地为所有协议/端口(ssh，imaps，.)启用它。

我错过了什么吗？

我应该显式地添加所有子域而不是使用通配符吗？

Answer 1

我不相信你错过了什么。至少对于为静态数据提供服务的名称服务器而言，这可能是您唯一的选择，因为您需要DNSSEC。

通常，如果可行的话，您可能应该添加实际正在使用的名称，而不是使用通配符。(从技术角度看，这显然更好，但通常是商业需求驱使人们使用通配符。)