Nello scenario con due nomi di dominio
-
example.com
protetto con DNSSEC -
example.org
non protetto con DNSSEC
e un servizio di posta in esecuzione a smtp.example.org
:
Voglio proteggere il servizio di posta usando TLSA / DANE. È in qualche modo possibile e posso aspettarmi che funzioni per la maggior parte dei software DANE?
L'idea è di pubblicare un record TLSA _25._tcp.smtp.example.com
e un record CNAME smtp.example.com
che punta a smtp.example.org
.
La risposta dalla zona org
non può essere considerata attendibile perché non è protetta da DNSSEC, ma il record TLSA da com
può. È un modo ragionevole per iscrivere DANE per zone che non sono ancora DNSSEC pronte?
Aggiornamento: Ho appena trovato questo nella sezione 7 di rfc7671 :
The complexity of coordinating key management is largely eliminated when DANE TLSA records are found in the Service Provider's domain, as discussed in Section 6. Therefore, DANE TLS clients connecting to a server whose domain name is a CNAME alias SHOULD follow the CNAME "hop by hop" to its ultimate target host (noting at each step whether or not the CNAME is DNSSEC validated). If at each stage of CNAME expansion the DNSSEC validation status is "secure", the final target name SHOULD be the preferred base domain for TLSA lookups.
Quindi nel mio caso lo stato di convalida non è "sicuro" e il rfc continua con:
Implementations failing to find a TLSA record using a base name of the final target of a CNAME expansion SHOULD issue a TLSA query using the original destination name. That is, the preferred TLSA base domain SHOULD be derived from the fully expanded name and, failing that, SHOULD be the initial domain name.
Il client "dovrebbe" alla fine risolvere il nome di dominio iniziale, ma non sono sicuro che ciò avvenga nella maggior parte dei casi.