Comments 4
Эти записи указывают, что TLSA-записи для портов 25, 587 и 993 следует искать по имени _dane.myzone.tdl.
Всё ж, CNAME с разных номеров сервисов на единую нестандартную запись, да ещё с другим именем хоста в её составе, – не очень хорошая идея. Лучше бы публиковать индивидуальные TLSA под теми именами/номерами, к которым они относятся. (CNAME – вообще не очень хорошая штука, за очень редкими исключениями, а в паре с DNSSEC – так ещё хуже.)
changetype: REPLACE (полностью заменяет существующие TLSA-записи для этого имени).
Тут бы нужно предусмотреть период ожидания для замены серверного сертификата (rollover): то есть, выкатывать новую TLSA-запись для нового сертификата заранее, рядом со старой, а переходить на новый сертификат только после того, как истечёт TTL (лучше – два TTL) старой TLSA-записи; после перехода на новый сертификат – удалять TLSA-запись для старого.
CNAME у меня работает, проверка успешно проходит на серверах microsoft и gmail. Есть рекомендация RFC 6698 на странице 28.
Со вторым замечанием согласен, конечно же новые TLSA-записи должны быть установлены заранее. Для домашнего сервера это не критично и можно уменьшить TTL для TLSA записей. А вообще конечно нужно доработать скрипт чтобы он запускался дважды, сначала добавлял две новых TLSA записи а потом оставлял только актуальные.
[Комментарий оказался не в той ветке.]
Автоматизация обновления TLSA-записей для DANE: Интеграция с PowerDNS API