3. TLSA証明書関連付けのドメイン名 (Domain Names for TLSA Certificate Associations)

これとは異なるプロトコル固有の仕様がない限り、TLSAリソースレコードはプレフィックス付きDNSドメイン名に格納されます。プレフィックスは次の方法で準備されます。

1. TLSベースのサービスが存在すると想定されるポート番号の10進表現の前に、アンダースコア文字("_")を付けて、準備されたドメイン名の最も左のラベルにします。この数字には先頭のゼロはありません。

2. TLSベースのサービスが存在すると想定されるトランスポートのプロトコル名の前に、アンダースコア文字("_")を付けて、準備されたドメイン名の2番目に左のラベルにします。このプロトコルで定義されているトランスポート名は"tcp"、"udp"、および"sctp"です。

3. ステップ2の結果にベースドメイン名を追加して、準備されたドメイン名を完成させます。ベースドメイン名は、TLSサーバーの完全修飾DNSドメイン名[RFC1035]であり、すべてのラベルが[RFC0952]のルールを満たさなければならないという追加の制限があります。後者の制限は、クエリが国際化ドメイン名の場合、[RFC5890]で定義されているA-label形式を使用する必要があることを意味します。

たとえば、"www.example.com"のポート443でTLSを実行しているHTTPサーバーのTLSAリソースレコードをリクエストするには、リクエストで"_443._tcp.www.example.com"が使用されます。"mail.example.com"のポート25でSTARTTLSプロトコルを実行しているSMTPサーバーのTLSAリソースレコードをリクエストするには、"_25._tcp.mail.example.com"が使用されます。