3. Noms de domaine pour les associations de certificats TLSA (Domain Names for TLSA Certificate Associations)

Sauf s'il existe une spécification spécifique au protocole différente de celle-ci, les enregistrements de ressources TLSA sont stockés sous un nom de domaine DNS préfixé. Le préfixe est préparé de la manière suivante :

1. La représentation décimale du numéro de port sur lequel un service basé sur TLS est censé exister est précédée d'un caractère de soulignement ("_") pour devenir l'étiquette la plus à gauche dans le nom de domaine préparé. Ce numéro n'a pas de zéros non significatifs.

2. Le nom de protocole du transport sur lequel un service basé sur TLS est censé exister est précédé d'un caractère de soulignement ("_") pour devenir la deuxième étiquette la plus à gauche dans le nom de domaine préparé. Les noms de transport définis pour ce protocole sont "tcp", "udp" et "sctp".

3. Le nom de domaine de base est ajouté au résultat de l'étape 2 pour compléter le nom de domaine préparé. Le nom de domaine de base est le nom de domaine DNS entièrement qualifié [RFC1035] du serveur TLS, avec la restriction supplémentaire que chaque étiquette DOIT respecter les règles de [RFC0952]. Cette dernière restriction signifie que, si la requête concerne un nom de domaine internationalisé, elle DOIT utiliser la forme A-label telle que définie dans [RFC5890].

Par exemple, pour demander un enregistrement de ressource TLSA pour un serveur HTTP exécutant TLS sur le port 443 à "www.example.com", "_443._tcp.www.example.com" est utilisé dans la requête. Pour demander un enregistrement de ressource TLSA pour un serveur SMTP exécutant le protocole STARTTLS sur le port 25 à "mail.example.com", "_25._tcp.mail.example.com" est utilisé.