3. Nomi di dominio per le associazioni di certificati TLSA (Domain Names for TLSA Certificate Associations)

A meno che non esista una specifica specifica del protocollo diversa da questa, i record di risorsa TLSA vengono memorizzati in un nome di dominio DNS con prefisso. Il prefisso viene preparato nel seguente modo:

1. La rappresentazione decimale del numero di porta su cui si presume esista un servizio basato su TLS viene preceduta da un carattere di sottolineatura ("_") per diventare l'etichetta più a sinistra nel nome di dominio preparato. Questo numero non ha zeri iniziali.

2. Il nome del protocollo del trasporto su cui si presume esista un servizio basato su TLS viene preceduto da un carattere di sottolineatura ("_") per diventare la seconda etichetta più a sinistra nel nome di dominio preparato. I nomi di trasporto definiti per questo protocollo sono "tcp", "udp" e "sctp".

3. Il nome di dominio di base viene aggiunto al risultato del passaggio 2 per completare il nome di dominio preparato. Il nome di dominio di base è il nome di dominio DNS completamente qualificato [RFC1035] del server TLS, con la restrizione aggiuntiva che ogni etichetta DEVE soddisfare le regole di [RFC0952]. Quest'ultima restrizione significa che, se la query riguarda un nome di dominio internazionalizzato, DEVE utilizzare la forma A-label come definita in [RFC5890].

Ad esempio, per richiedere un record di risorsa TLSA per un server HTTP che esegue TLS sulla porta 443 su "www.example.com", viene utilizzato "_443._tcp.www.example.com" nella richiesta. Per richiedere un record di risorsa TLSA per un server SMTP che esegue il protocollo STARTTLS sulla porta 25 su "mail.example.com", viene utilizzato "_25._tcp.mail.example.com".