当DNS服务器不支持时,是否可以创buildDANE TLSAlogging?

我想为处理我的电子邮件的域名设置DANE。 我的域名在OVH注册,我正在使用他们的Anycast DNS服务器。 他们支持DNSSEC,但不支持TLSAlogging。

有没有可以使用的回退loggingtypes? (就像我可以使用TXT,如果服务器不支持SPF等)

我已经能够通过生成一个“通用”logging( TYPE52而不是TLSA )在OVH上做到这TLSA 。 这可以很容易地使用hash-slinger来完成:

 $ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com _443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345 

在OVHpipe理器中添加这个logging工作得很好。

没有。

在SPF的情况下使用TXT是为了允许更广泛的实现,但这不是一个通用的scheme,并且这种方法存在不利于其标准化(主要增加了应用复杂性,但还有其他原因)的缺点。

如果您需要支持不寻常的RRtypes(目前是TLSA),最好的办法是托pipe您自己的权威域名服务器。