@vas3k@andrey_sitnik У меня Apple девайсы через mDNS общаются стабильнее всего, с остальными - как повезёт. С обычным .tld всё ОК. Сначала был split DNS, но в итоге и от него отказался. По итогу схема: "есть vpn домой - сервис доступен, нет - сервис резолвится, но недоступен, потому что в серой сети"
@andrey_sitnik@vas3k Вот, кстати, человек боролся с avahi, чтобы паблишить имена с точками. Но your mileage may vary, зависит от ОС на хостах в сети. Классический DNS тут сильно предсказуемее выглядит imho
https://t.co/gLd6lAeKdZ
@andrey_sitnik@vas3k В mDNS не запрещены поддомены, потому что он в принципе не иерархичный. По RFC почти любая UTF8 строка будет валидным именем в mDNS включая строки с точками. Записи вида _airplay._tcp.appletv.local. широко используются. Но воспринимать их нужно скорее как лэйблы, чем поддомены.
@rob_vitonsky@vas3k@andrey_sitnik IMHO более ценно, с точки зрения безопасности, что все выписанные сертификаты попадут в Certificate Transparency Log, что даст список (под)доменных имён, который ищется через https://t.co/EBsssueZP1 какой-нибудь. Можно прикинуть набор сервисов.
@vas3k По CA гайдлайнам все публичные сертификаты выдают не более чем на год уже несколько лет. У CF скорее всего для внутренних дел только, возможно придётся корневые сертификаты везде распихивать в этом случае, тогда проще уже свой CA сделать.
@vas3k@wokalek Можно DNS делегировать куда-нибудь с API (в Cloudflare бесплатно, например). И через соотв. плагин в certbot (или что угодно по вкусу) валидировать через DNS.
@ReDetection@megafonru Веб версию тоже прикрыли пару лет назад. Учитывая, что смс от банка(ов) и так не роутят в emotion, то старый айфон на тумбочке с форвардом входящих через imessage куда надо - самое надёжное решение.