Назад | Перейти на главную страницу

Как добавить DANE / TLSA в поддомен с подстановочными знаками?

Я хочу включить DANE / TLSA на * .example.com для https.

Чтобы активировать его на example.com, я могу сделать это (я использовал TYPE52 вместо TLSA, потому что мой провайдер DNS не поддерживает DANE):

_443._tcp.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

Подстановочные знаки не допускаются в середине, поэтому я не могу этого сделать (верно?):

_443._tcp.*.example. IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

Но активировать его на * .example.com я нашел единственный способ (первая строка уже была там для перенаправления * .example.com на те же IP-адреса):

*                         IN CNAME  example.com.
example.com.              IN TYPE52 # 35 01010102d50459538b4c549014266824948c9294da322581e51a0f0e79ce8aea0def89

Он работает, но он ложно включает его для всех протоколов / портов (ssh, imaps, ...)

Я что-то пропустил ?

Должен ли я явно добавлять все поддомены вместо использования подстановочного знака?

Я не верю, что ты что-то пропустил. По крайней мере, не для сервера имен, который обслуживает статические данные, что, вероятно, в любом случае является вашим единственным вариантом, поскольку вам нужен DNSSEC.

В общем, если это возможно, вам, вероятно, следует добавить фактически используемые имена, а не использовать подстановочные знаки. (С технической точки зрения это явно лучше, однако обычно люди используют подстановочные знаки именно из-за требований бизнеса.)