RFC 6698 утверждает, что запись TLSA следует игнорировать, если ее нельзя проверить с помощью DNSSEC. Для клиентов, использующих встроенный преобразователь заглушек, это означает проверку бита AD в ответе (и уверенность в том, что администратор направил преобразователь на некомпрометированный преобразователь с поддержкой DNSSEC).
Однако во многих организациях этот преобразователь также содержит внутренние представления собственных зон организации и отвечает флагом AA (но не флагом AD). Означает ли это, что помещать запись TLSA в такую зону бесполезно, потому что клиентам запрещено им доверять? Или я могу ожидать, что клиент (браузер) выполнит собственную проверку DNSSEC для записей TLSA, используя нерекурсивные запросы и обрабатывая локальный преобразователь как любой другой полномочный сервер?
(В конкретном случае, который я рассматриваю, мы пытаемся получить доступ к внешней службе, используя внутреннее имя, и по бизнес-причинам мы не можем добавить внутреннее имя к сертификату TLS на внешнем сервере).
Запуск резолвера полного кеширования на всех клиентских машинах был бы решением, но для нас это неосуществимо. Я знаю, что проверка TLSA даже не активна в большинстве браузеров, но я хотел бы быть готовым к тому, когда это произойдет.