Пользовательский тип имен предназначен для указания сертификата для авторизации сертификатов, используемых для безопасности транспортного уровня (TLS), используемого с электронной почтой. Идея заключается в том, что занятые серверы электронной почты не могут позволить себе дополнительную обработку, необходимую для отслеживания и аутентификации сертификата TLS через свой центр сертификации. Написав запись DNSSEC, почтовым серверам нужно только выполнить один поиск DNS для проверки соединения.
Согласно BIND9 Programmer's Manual
Опция -n определяет, как будет использоваться сгенерированный ключ. nametype может быть либо ZONE, HOST, ENTITY, либо USER, чтобы указать, что ключ будет использоваться для подписания зоны, хоста, сущности или пользователя соответственно.
Параметр -p устанавливает значение протокола для сгенерированного ключа в значение протокола. По умолчанию используется 2 (адрес электронной почты) для ключей типа USER и 3 (DNSSEC) для всех других типов ключей.
По причинам совершенно не ясно, что они решили группировать электронную почту и другие виды использования под именем USER.
Страница wikipedia для DANE - хорошее начало.
Скользкий подзаголовок SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) RFC 7672 Кажется, что трудно понять, как следует из названия! но он имеет некоторые полезные углубленные концепции и объясняет основные проблемы достаточно хорошо во введении.
К сожалению, у DNS нет той степени детализации, которую вы ищете. Если вы дали кому-то ключ для обновления, то они могут обновиться, у DNS нет процесса для ограничения чем-либо более сложным.
Майкл, это замечательно! Я не смог найти такую информацию с простым поиском google. Огромное спасибо. – shefiguresitout