3. Domainnamen für TLSA-Zertifikatszuordnungen (Domain Names for TLSA Certificate Associations)

Sofern es keine protokollspezifische Spezifikation gibt, die von dieser abweicht, werden TLSA-Ressourceneinträge unter einem präfixierten DNS-Domainnamen gespeichert. Das Präfix wird auf folgende Weise vorbereitet:

1. Die Dezimaldarstellung der Portnummer, auf der ein TLS-basierter Dienst vorhanden sein soll, wird mit einem Unterstrich ("_") vorangestellt, um das am weitesten links stehende Label im vorbereiteten Domainnamen zu werden. Diese Nummer hat keine führenden Nullen.

2. Der Protokollname des Transports, auf dem ein TLS-basierter Dienst vorhanden sein soll, wird mit einem Unterstrich ("_") vorangestellt, um das zweite am weitesten links stehende Label im vorbereiteten Domainnamen zu werden. Die für dieses Protokoll definierten Transportnamen sind "tcp", "udp" und "sctp".

3. Der Basis-Domainname wird an das Ergebnis von Schritt 2 angehängt, um den vorbereiteten Domainnamen zu vervollständigen. Der Basis-Domainname ist der vollständig qualifizierte DNS-Domainname [RFC1035] des TLS-Servers, mit der zusätzlichen Einschränkung, dass jedes Label die Regeln von [RFC0952] erfüllen MUSS. Die letztere Einschränkung bedeutet, dass bei einer Abfrage für einen internationalisierten Domainnamen die A-Label-Form wie in [RFC5890] definiert verwendet werden MUSS.

Um beispielsweise einen TLSA-Ressourceneintrag für einen HTTP-Server anzufordern, der TLS auf Port 443 unter "www.example.com" ausführt, wird "_443._tcp.www.example.com" in der Anfrage verwendet. Um einen TLSA-Ressourceneintrag für einen SMTP-Server anzufordern, der das STARTTLS-Protokoll auf Port 25 unter "mail.example.com" ausführt, wird "_25._tcp.mail.example.com" verwendet.