DANE TLSA を含むすべて/任意の DNS レコードを一覧表示したいと思います。
と
dig mailbox.org ANY
DNSSEC などを含むすべてのレコードを取得しますが、DANE については何も取得しません。なんで?
と
dig _443._tcp.mailbox.org. ANY
DANE TLSA レコードを取得します。
誰かがすべてのサブドメインを照会したいという質問を読みました 。すべての DNS レコードを一覧表示するにはどうすればよいですか? これはゾーン転送でのみ可能であることを認識しています。
しかし、「_443._tcp.」本当のサブドメインではありませんね。私はそれがただのSRVレコードだと思っていました。では、DANE TLSA を含むあらゆるものを照会するにはどうすればよいでしょうか?
TLSA リソース レコードは、プレフィックス付きの DNS ドメイン名に格納されます。プレフィックスは、次の方法で準備されます。
- TLS ベースのサービスが存在すると想定されるポート番号の 10 進数表現の先頭にアンダースコア文字 ("_") が追加され、準備されたドメイン名の左端のラベルになります。この数値には先行ゼロがありません。
- TLS ベースのサービスが存在すると想定されるトランスポートのプロトコル名は、準備されたドメイン名の左から 2 番目のラベルになるようにアンダースコア文字 ("_") が先頭に追加されます。このプロトコルに定義されているトランスポート名は、「tcp」、「udp」、および「sctp」です。
- ステップ 2 の結果にベース ドメイン名が追加され、準備されたドメイン名が完成します。ベース ドメイン名は、TLS サーバーの完全修飾 DNS ドメイン名 [RFC1035] であり、すべてのラベルが [RFC0952] の規則を満たさなければならないという追加の制限があります。後者の制限は、クエリが国際化ドメイン名に対するものである場合、[RFC5890] で定義されている A ラベル形式を使用する必要があることを意味します。
基本的に、さまざまなポートでさまざまな「TLS ベースのサービス」(DTLS など) を持つことができ、このデータはTLSAレコード セットに含まれないため、目的のプロトコル/ポートの組み合わせの正しい情報を見つけるための命名規則があります。