Я хочу настроить DANE для домена, который обрабатывает мою электронную почту. Мой домен зарегистрирован в OVH, и я использую их серверы Anycast DNS. Они поддерживают DNSSEC, но не записи TLSA.
Могу ли я использовать резервный тип записи? (например, я могу использовать TXT, если сервер не поддерживает SPF и т. д.)
Я смог сделать это на OVH, создав «общую» запись (с TYPE52 вместо того TLSA). Это легко сделать с помощью хищник:
$ tlsa --usage 1 --selector 1 --mtype 1 --output generic --certificate /path/to/certificate.pem example.com
_443._tcp.example.com. IN TYPE52 \# 35 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef012345
Добавление этой записи в диспетчер OVH работает нормально.
Нет.
Использование TXT для этого в случае SPF было сделано для обеспечения более широкой реализации, но это не общая схема, и у этого подхода есть недостатки, которые препятствуют его стандартизации (в основном повышенная сложность приложения, но есть и другие причины).
Если вам нужна поддержка необычных RR-типов (а на данный момент это TLSA), лучше всего разместить свои собственные авторитетные серверы имен.