RFC 6698 规定,除非可以使用 DNSSEC 验证 TLSA 记录,否则应忽略该记录。对于使用内置存根解析器的客户端,这意味着检查响应中的 AD 位(并相信管理员已将解析器指向未受损害的 DNSSEC 解析器)。
但是,在许多组织中,解析器还托管组织自身区域的内部视图,并将使用 AA 标志(而不是 AD 标志)进行回复。这是否意味着将 TLSA 记录放在这样的区域中是无用的,因为禁止客户端信任它们?或者我可以期望客户端(浏览器)将使用非递归查询对 TLSA 记录进行自己的 DNSSEC 验证,并将本地解析器视为任何其他权威服务器?
(在我正在研究的特定情况下,我们正尝试使用内部名称访问外部服务,并且由于业务原因,我们无法将内部名称添加到外部服务器上的 TLS 证书中)。
在所有客户端机器上运行完整的缓存解析器是一种解决方案,但对我们来说并不可行。我知道大多数浏览器甚至都没有启用 TLSA 检查,但我希望做好准备。