En el escenario con dos nombres de dominio
-
example.com
asegurado con DNSSEC -
example.org
no protegido con DNSSEC
y un servicio de correo que se ejecuta en smtp.example.org
:
Quiero asegurar el servicio de correo usando TLSA / DANE. ¿Es esto posible de alguna manera y puedo esperar que esto funcione para la mayoría de los programas que utilizan DANE?
La idea es publicar un registro TLSA _25._tcp.smtp.example.com
y un registro CNAME smtp.example.com
que apunta a smtp.example.org
.
La respuesta de la zona org
no se puede confiar porque no es DNSSEC segura, pero el registro TLSA de com
puede. ¿Es esta una manera razonable de inscribir DANE para zonas que aún no están listas para DNSSEC?
Actualizar: Acabo de encontrar esto en la sección 7 de rfc7671 :
La complejidad de coordinar la administración de claves se elimina en gran medida cuando los registros de DANE TLSA se encuentran en el dominio del Proveedor de Servicios, como se explica en la Sección 6. Por lo tanto, los clientes DANE TLS que se conectan a un servidor cuyo nombre de dominio es un alias de CNAME DEBEN seguir a CNAME "salto a salto" a su host objetivo final (anotando en cada paso si el CNAME está o no validado por DNSSEC). Si en cada etapa de la expansión de CNAME el estado de validación de DNSSEC es "seguro", el nombre final del objetivo DEBERÍA ser el dominio base preferido para las búsquedas de TLSA.
En mi caso, el estado de validación no es "seguro" y el rfc continúa con:
Las implementaciones que no logran encontrar un registro TLSA usando un nombre base del objetivo final de una expansión CNAME DEBEN emitir una consulta TLSA usando el nombre de destino original. Es decir, el dominio base TLSA preferido DEBE derivarse del nombre totalmente expandido y, en su defecto, DEBE ser el nombre de dominio inicial.
El cliente 'debería' eventualmente resuelve el nombre de dominio inicial, pero no estoy seguro de que eso suceda en la mayoría de los casos.