Bodenhaltung DNS und TLS sind 2 Paar Schuhe; und TLSA per CNAME macht ja auch nur dann Sinn, wenn es wie in meinem Fall um ein Wildcardzert./Multidomain-Zert. geht aber nur selektiv einzelne Hosts damit abgesichert werden sollen; nebenbei: wieso zitierst Du den TLS1.2 RFC, wenn Du von DNS sprichst
und im Zshg. eben mit Wildcardzert. macht das genaugenommen sogar so Sinn ...
man beachte: bei DANE hat man strenggenommen eine Sub-Sub-Domain ... und das in der Domain-ZONE
_443._tcp.www.example.com CNAME _tlsa.example.com
_443._tcp.imgs.example.com CNAME _tlsa.example.com
_443._tcp.example.com CNAME _tlsa.example.com
_25._tcp.mail.example.com CNAME _tlsa.example.com
_tlsa.example.com TLSA ....
_tlsa.example.com TLSA ....
an Stelle von einfach nur
*.example.com TLSA ...
*.example.com TLSA ...
macht es deutlich lesbarer und besser dokumentiert;
z.B. _443._tcp.mail.example.com wäre hier sinnvollerweise auch nicht definiert
man Stelle sich hier nur vor:
zusätzlich zu den beiden Wildcard-DNS-Einträgen gibt es noch diese beiden,
weil der Mailserver ein anderes Zertifikat hat ...
*.mail.example.com TLSA ...
*.mail.example.com TLSA ...
welche TLSA Einträge werden beim Request von
_25._tcp.mail.example.com geliefert?