我想为处理我的电子邮件的域名设置DANE。 我的域名在OVH注册,我正在使用他们的Anycast DNS服务器。 他们支持DNSSEC,但不支持TLSAlogging。
有没有可以使用的回退loggingtypes? (就像我可以使用TXT,如果服务器不支持SPF等)
我已经能够通过生成一个“通用”logging( TYPE52而不是TLSA )在OVH上做到这TLSA 。 这可以很容易地使用hash-slinger来完成:
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com _443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
在OVHpipe理器中添加这个logging工作得很好。
没有。
在SPF的情况下使用TXT是为了允许更广泛的实现,但这不是一个通用的scheme,并且这种方法存在不利于其标准化(主要增加了应用复杂性,但还有其他原因)的缺点。
如果您需要支持不寻常的RRtypes(目前是TLSA),最好的办法是托pipe您自己的权威域名服务器。