View a markdown version of this page

Tipi di record DNS supportati - Amazon Route 53
Tipo di record ATipo di record AAAATipo di record CAATipo di record CNAMETipo di record DSTipo di record HTTPSTipo di record MXTipo di record NAPTRTipo di record NSTipo di record PTRTipo di record SOATipo di record SPFTipo di record SRVTipo di record SSHFPTipo di record SVCBTipo di record TLSATipo di record TXT

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di record DNS supportati

Amazon Route 53 supporta i tipi di record DNS elencati in questa sezione. Ogni tipo di record include anche un esempio di come formattare l'elemento Value quando accedi a Route 53 utilizzando l'API.

Nota

Per i tipi di record che includono un nome di dominio, immetto un nome di dominio completo, ad esempio, www.esempio.com. Il punto finale è facoltativo; Route 53 presuppone che il nome di dominio sia completo. Ciò significa che Route 53 considera identici www.esempio.com (senza un punto finale) e www.esempio.com. (con un punto finale).

Route 53 fornisce un'estensione alla funzionalità DNS nota come record alias. Analogamente ai record CNAME, i record alias consentono di indirizzare il traffico verso AWS risorse selezionate, come CloudFront distribuzioni e bucket Amazon S3. Per ulteriori informazioni, incluso un confronto tra record alias e CNAME, vedi Scelta tra record alias e non alias.

Tipo di record A

Utilizzi un record A per indirizzare il traffico verso una risorsa, ad esempio un server Web, utilizzando un IPv4 indirizzo in notazione decimale puntata.

Esempio per la console Amazon Route 53

192.0.2.1

Esempio per l'API Route 53

<Value>192.0.2.1</Value>

Tipo di record AAAA

Si utilizza un record AAAA per indirizzare il traffico verso una risorsa, ad esempio un server Web, utilizzando un IPv6 indirizzo in formato esadecimale separato da due punti.

Esempio per la console Amazon Route 53

2001:0db8:85a3:0:0:8a2e:0370:7334

Esempio per l'API Route 53

<Value>2001:0db8:85a3:0:0:8a2e:0370:7334</Value>

Tipo di record CAA

Un record CAA specifica quali autorità di certificazione (CAs) sono autorizzate a emettere certificati per un dominio o sottodominio. La creazione di un record CAA aiuta a prevenire l'emissione errata di certificati per CAs i tuoi domini. Un record CAA non è un sostituto per i requisiti di sicurezza specificati dall'autorità di certificazione, ad esempio il requisito di convalidare che sei il proprietario di un dominio.

Puoi utilizzare i record CAA per specificare quanto segue:

  • Quali autorità di certificazione (CAs) possono emettere SSL/TLS certificati, se ce ne sono

  • L'indirizzo e-mail o l'URL da contattare quando un'autorità di certificazione emette un certificato per il dominio o il sottodominio.

Quando aggiungi un record CAA alle tue zona ospitata, devi specificare tre impostazioni separate da spazi:

flags tag "value"

Nota le seguenti informazioni sul formato per i record CAA:

  • Il valore di tag può contenere solo i caratteri A - Z, a - z e 0-9.

  • Racchiudi sempre value tra virgolette ("").

  • Alcuni CAs consentono o richiedono valori aggiuntivi pervalue. Specifica i valori aggiuntivi come coppie nome-valore e separale con un punto e virgola (;), ad esempio:

    0 issue "ca.example.net; account=123456"

  • Se una CA riceve una richiesta per un certificato per un sottodominio (ad esempio www.esempio.com) e non esistono record CAA per il sottodominio esistente, la CA invia una query DNS per un record CAA per il dominio padre (ad esempio esempio.com). Se un record per il dominio padre esiste e la richiesta di certificato è valida, la CA emette il certificato per il sottodominio.

  • Ti consigliamo di contattare la CA per determinare i valori da specificare per un record CAA.

  • Non è possibile creare un record CAA e un record CNAME con lo stesso nome perché DNS non consente di utilizzare lo stesso nome per un record CNAME e per qualsiasi altro tipo di record.

Autorizza una CA al rilascio di un certificato per un dominio o sottodominio

Per autorizzare una CA a rilasciare un certificato per un dominio o sottodominio, devi creare un record con lo stesso nome del dominio o del sottodominio e specificare le impostazioni seguenti:

  • flag - 0

  • tag - issue

  • value: il codice per la CA che autorizzi a emettere un certificato per il dominio o sottodominio

Ad esempio, supponiamo che desideri autorizzare ca.esempio.net a emettere un certificato per esempio.com. Devi creare un record CAA per esempio.com con le impostazioni seguenti:

0 issue "ca.example.net"

Per informazioni su come AWS Certificate Manager autorizzare l'emissione di un certificato, consulta Configurare un record CAA nella Guida per l'AWS Certificate Manager utente.

Autorizza una CA al rilascio di un certificato jolly per un dominio o sottodominio

Per autorizzare una CA a rilasciare un certificato jolly per un dominio o sottodominio, devi creare un record con lo stesso nome del dominio o del sottodominio e specificare le impostazioni seguenti. Un certificato jolly si applica al dominio o sottodominio e a tutti i suoi sottodomini.

  • flag - 0

  • tag - issuewild

  • value: il codice per la CA che autorizzi a emettere un certificato per un dominio o sottodominio e i relativi sottodomini

Ad esempio, supponiamo che desideri autorizzare ca.esempio.net a emettere un certificato jolly per esempio.com, che si applica a esempio.com e a tutti i suoi sottodomini. Devi creare un record CAA per esempio.com con le impostazioni seguenti:

0 issuewild "ca.example.net"

Se desideri autorizzare una CA a rilasciare un certificato jolly per un dominio o sottodominio, devi creare un record con lo stesso nome del dominio o del sottodominio e specificare le impostazioni seguenti. Un certificato jolly si applica al dominio o sottodominio e a tutti i suoi sottodomini.

Impedire a qualsiasi CA di emettere un certificato per un dominio o sottodominio

Per impedire a una CA di rilasciare un certificato jolly per un dominio o sottodominio, devi creare un record con lo stesso nome del dominio o del sottodominio e specificare le impostazioni seguenti:

  • flag - 0

  • tag - issue

  • Valore - ";"

Ad esempio, supponiamo che non desideri che una CA emetta un certificato per esempio.com. Devi creare un record CAA per esempio.com con le impostazioni seguenti:

0 issue ";"

Se non desideri che una CA rilasci un certificato per esempio.com o i suoi sottodomini, devi creare un record CAA per esempio.com con le impostazioni seguenti:

0 issuewild ";"

Nota

Se crei un record CAA per esempio.com e specifichi entrambi i seguenti valori, una CA che utilizza il valore ca.esempio.net può emettere il certificato per esempio.com:

0 issue ";"
0 issue "ca.example.net"

Richiedere che una CA ti contatti se riceve una richiesta di certificato non valida

Se desideri che una CA che riceve una richiesta non valida per un certificato ti contattati, specifica le impostazioni seguenti:

  • flag - 0

  • tag - iodef

  • value: l'URL o l'indirizzo e-mail a cui desideri che la CA ti informi nel caso in cui riceve una richiesta non valida per un certificato. Utilizza il formato pertinente:

    "mailto:email-address"

    "http://URL"

    "https://URL"

Ad esempio, se desidera che una CA che riceve una richiesta non valida per un certificato invii e-mail ad admin@esempio.com, devi creare un record CAA con le impostazioni seguenti:

0 iodef "mailto:admin@example.com"

Utilizzare un'altra impostazione supportata dalla CA

Se la tua CA supporta una funzionalità che non è ancora definita nella RFC per i record CAA, specifica le impostazioni seguenti:

  • flags: 128 (tale valore impedisce alla CA di rilasciare un certificato se non supporta la funzionalità specificata.)

  • tag: il tag che autorizzi la CA a utilizzare

  • value: il valore corrispondente al valore del tag

Ad esempio, supponiamo che la tua CA supporti l'invio di un messaggio di testo se la CA riceve una richiesta di certificato non valida. (Non siamo a conoscenza di nessuno CAs che supporti questa opzione). Le impostazioni per il record potrebbero essere le seguenti:

128 exampletag "15555551212"

Esempi

Esempio per la console Route 53

0 issue "ca.example.net"
0 iodef "mailto:admin@example.com"

Esempio per l'API Route 53

<ResourceRecord>
   <Value>0 issue "ca.example.net"</Value>
   <Value>0 iodef "mailto:admin@example.com"</Value>
</ResourceRecord>

Tipo di record CNAME

Un record CNAME associa le query DNS relative al nome del record corrente, ad esempio acme.example.com, a un altro dominio (example.com o example.net) o sottodominio (acme.example.com o zenith.example.org).

Importante

Il protocollo DNS non consente di creare un record CNAME per il nodo di primo livello di uno spazio di nomi DNS, noto anche come apex di zona. Ad esempio, se record il nome DNS esempio.com, l'apex di zona è esempio.com. Non puoi creare un record CNAME per esempio.com, ma puoi creare più record CNAME per www.esempio.com, nuovoprodotto.esempio.com e così via.

Inoltre, se crei un record CNAME per un sottodominio, non puoi creare qualsiasi altro record per quel sottodominio. Ad esempio, se si crea un CNAME per www.example.com, non è possibile creare altri record per i quali il valore del campo Name (Nome) è www.example.com.

Amazon Route 53 supporta anche i record di alias, che consentono di indirizzare le query a AWS risorse selezionate, come CloudFront distribuzioni e bucket Amazon S3. Gli alias sono simili in alcuni modi al tipo di record CNAME; tuttavia, puoi creare un alias per l'apex di zona. Per ulteriori informazioni, consulta Scelta tra record alias e non alias.

Esempio per la console Route 53

hostname.example.com

Esempio per l'API Route 53

<Value>hostname.example.com</Value>

Tipo di record DS

Un record del firmatario della delega (DS) fa riferimento a una chiave di zona per una zona di sottodominio delegata. È possibile creare un record DS quando si stabilisce una catena di attendibilità quando si configura la firma DNSSEC. Per ulteriori informazioni sulla configurazione di DNSSEC in Route 53, consulta Configurazione della firma DNSSEC in Amazon Route 53.

I primi tre valori sono numeri decimali che rappresentano il tag della chiave, l'algoritmo e il tipo di digest. Il quarto valore è il digest della chiave di zona. Per ulteriori informazioni sul formato dei record DS, consulta RFC 4034.

Esempio per la console Route 53

123 4 5 1234567890abcdef1234567890absdef

Esempio per l'API Route 53

<Value>123 4 5 1234567890abcdef1234567890absdef</Value>

Tipo di record HTTPS

Un record di risorse HTTPS è una forma del record DNS Service Binding (SVCB) che fornisce informazioni di configurazione estese, consentendo a un client di connettersi in modo semplice e sicuro a un servizio con un protocollo HTTP. Le informazioni di configurazione sono fornite in parametri che consentono la connessione in un'unica query DNS, anziché richiedere più query DNS.

Il formato per un record di risorse HTTPS è:

SvcPriority TargetName SvcParams(optional)

I seguenti parametri sono descritti nella RFC 9460, sezione 9.1.

SvcPriority

Un numero intero che rappresenta la priorità. La priorità 0 indica la modalità alias ed è generalmente destinata all'alias all'apice della zona. Questo valore è un numero intero 0-32767 per Route 53, di cui 1-32767 sono record in modalità servizio. Riduci la priorità, aumenta la preferenza.

TargetName

Il nome di dominio della destinazione dell'alias (per la modalità alias) o dell'endpoint alternativo (per). ServiceMode

SvcParams (facoltativo)

Un elenco separato da spazi bianchi, con ogni parametro costituito da una coppia Chiave=Valore o da una chiave autonoma. Se sono presenti più valori, questi vengono presentati come un elenco separato da virgole. I seguenti sono i definiti: SvcParams

  • 1:alpn— Protocollo di negoziazione del protocollo a livello di applicazione. IDs L'impostazione predefinita è HTTP/1.1, h2 è HTTP/2 su TLS e HTTP/3 (protocollo HTTP su h3 QUIC).

  • 2:no-default-alpn— L'impostazione predefinita non è supportata ed è necessario fornire un parametro. alpn

  • 3:port— l'endpoint alternativo o la porta da cui è possibile raggiungere il servizio.

  • 4:ipv4hint— suggerimenti sugli IPv4 indirizzi.

  • 5:ech— Client crittografato Hello.

  • 6:ipv6hint— suggerimenti IPv6 sugli indirizzi.

  • 7:dohpath— Modello DNS su HTTPS

  • 8:ohttp— Il servizio gestisce un target HTTP Oblivious

Esempio di console Amazon Route 53 per la modalità alias

0 example.com

Esempio di console Amazon Route 53 per la modalità di servizio

16 example.com alpn="h2,h3" port=808

Esempio dell'API Amazon Route 53 per la modalità alias

<Value>0 example.com</Value>

Esempio dell'API Route 53 per la modalità di servizio

<Value>16 example.com alpn="h2,h3" port=808</Value>

Per ulteriori informazioni, vedere RFC 9460, Service Binding and Parameter Specification tramite DNS (SVCB e HTTPS Resource Records).

Nota

Route 53 non supporta il formato arbitrario di presentazione a chiave sconosciuta keyNNNNN

Tipo di record MX

Un record MX specifica i nomi dei server di posta e, se si dispone di due o più server di posta, l'ordine di priorità. Ogni valore di un record MX include due valori: priorità e nome del dominio.

Priorità

Numero intero che rappresenta le priorità per un server di e-mail. Se specifichi solo un server, la priorità può essere un valore intero compreso tra 0 e 65535. Se specifichi più server, il valore specificato per la priorità indica per quali server e-mail desideri indirizzare le e-mail al primo, al secondo e così via. Il server con il valore più basso per la priorità ha la precedenza. Ad esempio, se disponi di due server e-mail e specifichi valori di 10 e 20 per la priorità, l'e-mail viene sempre inviata al server con una priorità di 10 a meno che non sia disponibile. Se specifichi valori di 10 e 10, l'e-mail viene instradata ai due server in modo praticamente uguale.

Nome dominio

Il nome di dominio del server e-mail. Specifica il nome (ad esempio mail.esempio.com) di un record A o AAAA. In RFC 2181, chiarimenti per la specifica DNS, la sezione 10.3 proibisce di specificare il nome di un record CNAME per il valore del nome di dominio. (Quando RFC cita "alias", significa un record CNAME, non un record alias di Route 53.)

Esempio per la console Amazon Route 53

10 mail.example.com

Esempio per l'API Route 53

<Value>10 mail.example.com</Value>

Tipo di record NAPTR

Un Name Authority Pointer (NAPTR) è un tipo di record utilizzato dalle applicazioni DDDS (Dynamic Delegation Discovery System) per convertire un valore in un altro valore o per sostituire un valore con un altro. Ad esempio, un uso comune è quello di convertire i numeri di telefono in SIP. URIs

L'elemento Value per un record NAPTR consiste in sei valori separati da spazio:

Order

Quando specifichi più di un record, la sequenza con cui desideri che l'applicazione DDDS valuti i record. Valori validi: 0-65535.

Preferenza

Quando specifichi due o più record con lo stesso Order (Ordine), le tue preferenze per la sequenza in cui questi record verranno valutati. Ad esempio, se due record hanno un Order (Ordine) di 1, l'applicazione DDDS prima valuta il record che ha la Preference (Preferenza) più bassa. Valori validi: 0-65535.

Flag

Impostazione specifica per le applicazioni DDDS. I valori attualmente definiti in RFC 3404 sono composti da lettere maiuscole e minuscole "A", "P", "S" e "U", e dalla stringa vuota, "". Includi Flags (Flag) tra virgolette.

Servizio

Impostazione specifica per le applicazioni DDDS. Includi Service (Servizio) tra virgolette.

Per ulteriori informazioni, consulta la pagina pertinente RFCs:

Regexp

Un'espressione regolare che l'applicazione DDDS impiega per convertire un valore di input in un valore di output. Ad esempio, un sistema telefonico IP potrebbe utilizzare un'espressione regolare per convertire un numero di telefono immesso da un utente in un URI SIP. Includi Regexp tra virgolette. Specifica un valore per Regexp o un valore per Replacement (Sostituzione), ma non entrambi.

L'espressione regolare può includere i seguenti caratteri ASCII stampabili:

  • a-z

  • 0-9

  • - (trattino)

  • (spazio)

  • ! # $ % & ' ( ) * + , - / : ; < = > ? @ [ ] ^ _ ` { | } ~ .

  • " (virgolette). Per includere virgolette in una stringa, è necessario anteporre un \ carattere: \".

  • \ (barra rovesciata). Per includere una barra rovesciata in una stringa, è necessario anteporre un \ carattere: \\".

Specifica tutti gli altri valori, ad esempio i nomi di dominio internazionalizzati, in formato ottale.

Per la sintassi di Regexp, consulta la RFC 3402, sezione 3.2 Sintassi di espressione sostitutiva

Sostituzione

Il nome di dominio completo del prossimo nome di dominio per cui desideri che l'applicazione DDDS invii una query DNS. L'applicazione DDDS sostituisce il valore di input con il valore specificato per Replacement (Sostituzione). Specifica un valore per Regexp o un valore per Replacement (Sostituzione), ma non entrambi. Se specifichi un valore per Regexp, specifica un punto (.) per Replacement (Sostituzione).

Il nome di dominio può includere a-z, 0-9 e - (trattino).

Per ulteriori informazioni sulle applicazioni DDDS e sui record NAPTR, vedere quanto segue: RFCs

Esempio per la console Amazon Route 53

100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" .
100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" .
100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .

Esempio per l'API Route 53

<ResourceRecord>
   <Value>100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" .</Value>
   <Value>100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" .</Value>
   <Value>100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .</Value>
</ResourceRecord>

Tipo di record NS

Un record NS identifica i server di nomi per la zona ospitata. Tieni presente quanto segue:

  • Un record NS viene utilizzato il più delle volte per controllare la modalità di instradamento del traffico Internet per un dominio. Se si desidera utilizzare i record in una zona ospitata per instradare il traffico per un dominio, è possibile aggiornare le impostazioni di registrazione del dominio per utilizzare i quattro server dei nomi nel record NS predefinito (si tratta del record NS che ha lo stesso nome della zona ospitata).

  • È possibile creare una zona ospitata separata per un sottodominio (acme.example.com) e utilizzarla per instradare il traffico Internet per il sottodominio e i relativi sottodomini (subdomain.acme.example.com). È possibile impostare questa configurazione, nota come “delegazione della responsabilità di un sottodominio a una zona ospitata”, creando un altro record NS nella zona ospitata per il dominio radice (example.com). Per ulteriori informazioni, consulta Routing del traffico per sottodomini.

  • È inoltre possibile utilizzare i record NS per configurare i server dei nomi white label. Per ulteriori informazioni, consulta Configurazione dei server di nomi white label.

  • Un altro utilizzo di un record NS è per le zone ospitate private, quando si crea una regola di delega per delegare l'autorità di un sottodominio al resolver locale. È necessario creare questo record NS prima di creare una regola di delega. Per ulteriori informazioni, consulta In che modo gli endpoint Resolver inoltrano le query DNS dall'utente alla rete VPCs.

Per ulteriori informazioni sui record NS, consulta Record NS e SOA creati da Amazon Route 53 per una zona ospitata pubblica.

Esempio per la console Amazon Route 53

ns-1.example.com

Esempio per l'API Route 53

<Value>ns-1.example.com</Value>

Tipo di record PTR

Un record PTR associa un indirizzo IP al nome di dominio corrispondente.

Esempio per la console Amazon Route 53

hostname.example.com

Esempio per l'API Route 53

<Value>hostname.example.com</Value>

Tipo di record SOA

Un record di origine di autorità (SOA) fornisce informazioni su un dominio e la zona ospitata Amazon Route 53 corrispondente. Per ulteriori informazioni sui campi in un record SOA, consulta Record NS e SOA creati da Amazon Route 53 per una zona ospitata pubblica.

Esempio per la console Route 53

ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60

Esempio per l'API Route 53

<Value>ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60</Value>

Tipo di record SPF

I record SPF erano precedentemente usati per verificare l'identità del mittente di messaggi e-mail. Tuttavia, non è più consigliabile creare record per i quali il tipo di record è SPF. La RFC 7208, Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, versione 1, è stata aggiornata per dire: «... [La] sua esistenza e il meccanismo definiti in [RFC4408] hanno portato ad alcuni problemi di interoperabilità. Di conseguenza, il suo utilizzo non è più appropriato per SPF versione 1; le implementazioni non devono utilizzarlo." In RFC 7208, consulta la sezione 14.1, Tipo record DNS SPF.

Invece di un record SPF, è consigliabile creare un record TXT che contiene il valore applicabile. Per ulteriori informazioni sui valori validi, consulta l'articolo Wikipedia Sender Policy Framework.

Esempio per la console Amazon Route 53

"v=spf1 ip4:192.168.0.1/16 -all"

Esempio per l'API Route 53

<Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>

Tipo di record SRV

Un record Value SRV consiste in quattro valori separati da spazio. I primi tre valori sono numeri decimali con priorità, peso e porta. Il quarto valore è un nome di dominio. I record SRV vengono utilizzati per accedere a servizi, ad esempio un servizio per e-mail o comunicazioni. Per informazioni sul formato dei record SRV, consulta la documentazione relativa al servizio a cui desideri connetterti.

Esempio per la console Amazon Route 53

10 5 80 hostname.example.com

Esempio per l'API Route 53

<Value>10 5 80 hostname.example.com</Value>

Tipo di record SSHFP

Un record di impronte digitali Secure Shell (SSHFP) identifica le chiavi SSH associate al nome di dominio. I record SSHFP devono essere protetti con DNSSEC per stabilire una catena di fiducia. Per ulteriori informazioni su DNSSEC, vedere Configurazione della firma DNSSEC in Amazon Route 53

Il formato per un record di risorse SSHFP è:

[Key Algorithm] [Hash Type] Fingerprint

I seguenti parametri sono definiti nella RFC 4255.

Algoritmo chiave

Tipo di algoritmo:

  • 0— Riservato e non utilizzato.

  • 1: RSA— L'algoritmo Rivest-Shamir-Adleman è uno dei primi sistemi crittografici a chiave pubblica ed è ancora utilizzato per la trasmissione sicura dei dati.

  • 2: DSA— L'algoritmo di firma digitale è uno standard federale di elaborazione delle informazioni per le firme digitali. Il DSA si basa sull'esponenziazione modulare e sui modelli matematici a logaritmi discreti.

  • 3: ECDSA— Elliptic Curve Digital Signature Algorithm è una variante del DSA che utilizza la crittografia a curva ellittica.

  • 4: Ed25519— L'algoritmo Ed25519 è lo schema di firma EdDSA che utilizza SHA-512 (SHA-2) e Curve25519.

  • 6: Ed448— Ed448 è lo schema di firma EdDSA che utilizza e Curve448. SHAKE256

Tipo di hash

Algoritmo utilizzato per creare l'hash della chiave pubblica:

  • 0—Riservato e non utilizzato.

  • 1: SHA-1

  • 2: SHA-256

Impronta digitale

Rappresentazione esadecimale dell'hash.

Esempio per la console Amazon Route 53

1 1 09F6A01D2175742B257C6B98B7C72C44C4040683

Esempio per l'API Route 53

<Value>1 1 09F6A01D2175742B257C6B98B7C72C44C4040683</Value>

Per ulteriori informazioni, vedere RFC 4255: Utilizzo del DNS per pubblicare in modo sicuro le impronte digitali delle chiavi Secure Shell (SSH).

Tipo di record SVCB

Si utilizza un record SVCB per fornire informazioni di configurazione per l'accesso agli endpoint del servizio. SVCB è un record DNS generico e può essere utilizzato per negoziare i parametri per una varietà di protocolli applicativi.

Il formato per un record di risorse SVCB è:

SvcPriority TargetName SvcParams(optional)

I seguenti parametri sono descritti nella RFC 9460, sezione 2.3.

SvcPriority

Un numero intero che rappresenta la priorità. La priorità 0 indica la modalità alias ed è generalmente destinata all'alias all'apice della zona. Abbassa la priorità, aumenta la preferenza.

TargetName

Il nome di dominio della destinazione dell'alias (per la modalità alias) o dell'endpoint alternativo (per). ServiceMode

SvcParams (facoltativo)

Un elenco separato da spazi bianchi, con ogni parametro costituito da una coppia Chiave=Valore o da una chiave autonoma. Se sono presenti più valori, questi vengono presentati come un elenco separato da virgole. Questo valore è un numero intero 0-32767 per la Route 53, di cui 1-32767 sono record in modalità servizio. I seguenti sono i definiti: SvcParams

  • 1:alpn— Protocollo di negoziazione del protocollo a livello di applicazione. IDs L'impostazione predefinita è HTTP/1.1, h2 è HTTP/2 su TLS e HTTP/3 (protocollo HTTP su h3 QUIC).

  • 2:no-default-alpn— L'impostazione predefinita non è supportata ed è necessario fornire un parametro. alpn

  • 3:port— la porta per l'endpoint alternativo in cui è possibile raggiungere il servizio.

  • 4:ipv4hint— suggerimenti sugli IPv4 indirizzi.

  • 5:ech— Client crittografato Hello.

  • 6:ipv6hint— suggerimenti IPv6 sugli indirizzi.

  • 7:dohpath— Modello DNS su HTTPS

  • 8:ohttp— Il servizio gestisce un target HTTP Oblivious

Esempio di console Amazon Route 53 per la modalità alias

0 example.com

Esempio di console Amazon Route 53 per la modalità di servizio

16 example.com alpn="h2,h3" port=808

Esempio dell'API Amazon Route 53 per la modalità alias

<Value>0 example.com</Value>

Esempio dell'API Route 53 per la modalità di servizio

<Value>16 example.com alpn="h2,h3" port=808</Value>

Per ulteriori informazioni, vedere RFC 9460, Service Binding and Parameter Specification tramite DNS (SVCB e HTTPS Resource Records).

Nota

Route 53 non supporta il formato arbitrario di presentazione a chiave sconosciuta keyNNNNN

Tipo di record TLSA

Si utilizza un record TLSA per utilizzare l'autenticazione delle entità denominate (DANE) basata su DNS. Un record TLSA associa una certificate/public chiave a un endpoint Transport Layer Security (TLS) e i client possono convalidare la chiave utilizzando un record TLSA firmato con DNSSEC. certificate/public

I record TLSA possono essere considerati attendibili solo se DNSSEC è abilitato sul dominio. Per ulteriori informazioni su DNSSEC, vedere Configurazione della firma DNSSEC in Amazon Route 53

Il formato per un record di risorse TLSA è:

[Certificate usage] Selector [Matching type] [Certificate association data]

I seguenti parametri sono specificati nella RFC 6698, sezione 3.

Utilizzo del certificato

Speciifica l'associazione fornita che verrà utilizzata per abbinare il certificato presentato nell'handshake TLS:

  • 0: vincolo CA: il certificato o la chiave pubblica devono essere trovati in uno qualsiasi dei percorsi di certificazione PKIX (Public Key Infrastructure) per il certificato dell'entità finale fornito dal server in TLS. Questo vincolo limita i dati che CAs possono essere utilizzati per emettere certificati per un servizio specifico.

  • 1: Vincolo del certificato di entità finale: specifica un certificato di entità finale (o la chiave pubblica) che deve corrispondere al certificato dell'entità finale fornito dal server in TLS. Questa certificazione limita il certificato dell'entità finale che può essere utilizzato da un servizio specifico su un host.

  • 2: Un'asserzione di trust Anchor: specifica un certificato (o la chiave pubblica) che deve essere utilizzato come «trust anchor» durante la convalida del certificato di entità finale fornito dal server in TLS. Consente a un amministratore di dominio di specificare un trust anchor.

  • 3: Certificazione rilasciata dal dominio: specifica un certificato (o la chiave pubblica) che deve corrispondere al certificato dell'entità finale fornito dal server in TLS. Questa certificazione consente a un amministratore di dominio di emettere certificati per un dominio senza coinvolgere una CA di terze parti. Non è necessario che questo certificato superi la convalida PKIX.

Selector

Speciifica quale parte del certificato presentato dal server nell'handshake corrisponde al valore dell'associazione:

  • 0: è necessario abbinare l'intero certificato.

  • 1: La chiave pubblica del soggetto, o la struttura binaria con codifica DER, deve corrispondere.

Tipo corrispondente

Speciifica la presentazione (come determinata dal campo Selector) della corrispondenza del certificato:

  • 0: Corrispondenza esatta del contenuto.

  • 1: hash SHA-256.

  • 2: hash SHA-512.

Dati di associazione dei certificati

I dati da abbinare in base alle impostazioni degli altri campi.

Esempio per la console Amazon Route 53

0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971

Esempio per l'API Route 53

<Value>0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971</Value>

Per ulteriori informazioni, vedere RFC 6698, The DNS-based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA.

Tipo di record TXT

Un record TXT contiene una o più stringhe racchiuse tra virgolette ("). Quando utilizzi la policy di routing semplice, includi tutti i valori per un dominio (esempio.com) o sottodominio (www.esempio.com) nello stesso record TXT.

Inserimento dei valori del record TXT

Una singola stringa può includere fino a 255 caratteri, tra cui i seguenti:

  • a-z

  • A-Z

  • 0-9

  • Spazio

  • - (trattino)

  • ! " # $ % & ' ( ) * + , - / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Se è necessario immettere un valore più lungo di 255 caratteri, suddividere il valore in stringhe di 255 caratteri o numero inferiore e racchiudere ogni stringa tra virgolette doppie ("). Nella console, elencare tutte le stringhe sulla stessa riga:

"String 1" "String 2" "String 3"

Per l'API, includere tutte le stringhe nello stesso elemento Value:

<Value>"String 1" "String 2" "String 3"</Value>

La lunghezza massima di un valore in un record TXT è di 4.000 caratteri.

Per inserire più di un valore TXT, inserisci un valore per riga.

Caratteri speciali in un valore di record TXT

Se il record TXT contiene uno dei seguenti caratteri, è necessario specificare i caratteri utilizzando i codici di escape nel formato: \ three-digit octal code

  • Caratteri da 000 a 040 ottali (da 0 a 32 decimali, da 0x00 a 0x20 esadecimali)

  • Caratteri da 177 a 377 ottali (da 127 a 255 decimali, da 0x7F a 0xFF esadecimali)

Ad esempio, se il valore del tuo record TXT è "exämple.com", devi specificare "ex\344mple.com".

Per una mappatura tra caratteri ASCII e codici ottali, esegui una ricerca su Internet per «codici ottali ASCII». Un utile riferimento è la tabella estesa dei codici ASCII.

Per includere le virgolette (") in una stringa, inserisci una barra rovesciata (\) prima della virgoletta: \".

Maiuscole e minuscole in un valore di record TXT

Maiuscole e minuscole vengono mantenute, perciò "Ab" e "aB" sono valori diversi.

Esempi

Esempio per la console Amazon Route 53

Immetti ogni valore su una riga distinta:

"This string includes \"quotation marks\"."
"The last character in this string is an accented e specified in octal format: \351"
"v=spf1 ip4:192.168.0.1/16 -all"

Esempio per l'API Route 53

Immetti ogni valore in un elemento Value separato:

<Value>"This string includes \"quotation marks\"."</Value>
<Value>"The last character in this string is an accented e specified in octal format: \351"</Value>
<Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>