我想在* .example.com上为https启用DANE / TLSA。
要在example.com上激活它,我可以做到这一点(我用TYPE52而不是TLSA,因为我的DNS提供者不是DANE意识到的):
_443._tcp.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89 通配符不允许在中间,所以我不能这样做(对吧?):
_443._tcp.*.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89
但在* .example.com上激活它,我发现的唯一方法是(第一行已经在那里redirect* .example.com在相同的IP):
* IN CNAME example.com. example.com. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89
它工作,但它错误地启用它的所有协议/端口(SSH,IMAP,…)
我错过了什么 ?
我应该明确添加所有子域而不是使用通配符吗?
我不相信你错过了什么。 至less不是用于提供静态数据的名称服务器,无论如何,这可能是您唯一的select,因为您需要使用DNSSEC。
一般来说,如果可行,您可能应该添加实际使用的名称,而不是使用通配符。 (从技术angular度来看,这显然更好,但是通常业务需求会促使人们使用通配符。)