<!DOCTYPE html><html><head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body>

    <p>Our 'special' zone definitions are less than 10kb (at the

      moment), so the 64kb limit isn't an issue. And if it ever is, it

      can be broken up into several 'included' .conf files.</p>

    <p>The 255-character string limit isn't a problem with base64:<br>

    </p>

    <p>

      <blockquote type="cite">base64 -w 250 special.conf | sed

        's/^/"/;s/$/"/' | tr -d "\n"</blockquote>

      will produce a value suitable for use as a TXT record. It could be

      pasted into a static zone file, or piped through <i>nsupdate</i>.

      And then our normal zone-distribution mechanisms will make the new

      value available to everyone. <br>

    </p>

    <p>

      <blockquote type="cite">dig +tcp +short TXT special.z.ex.com | tr

        -d '"' | tr -d " " | base64 -d -</blockquote>

      Will retrieve the TXT record and turn back into special.conf</p>

    <p>The serial number of zone 'z' would indicate there had been an

      update.</p>

    <p>The 'include' segments couldn't have any secrets in them.</p>

    <p>Signing the zone would demonstrate the validity of the record.</p>

    <p>In the absence of dnssec, a second record with a <i>sha256sum</i>

      would demonstrate the large record had been retrieved correctly.</p>

    <p><br>

    </p>

    <p>I like the idea of re-using the zone-replication mechanism to

      distribute the .conf information. I do not like the idea of

      pulling information from public DNS records for use as

      configuration data. While an interesting idea at first glance, I

      don't think this looks like a good idea when it is scrutinized.<br>

    </p>

    <pre class="moz-signature" cols="72">--

Do things because you should, not just because you can. 

John Thurston    907-465-8591

<a class="moz-txt-link-abbreviated" href="mailto:John.Thurston@alaska.gov">John.Thurston@alaska.gov</a>

Department of Administration

State of Alaska</pre>

    <div class="moz-cite-prefix">On 9/25/2024 3:15 AM, Jan-Piet Mens

      wrote:<br>

    </div>

    <blockquote type="cite" cite="mid:ZvPw3cEmNovoC4q_@rabbit.ww.mens.de">

      <blockquote type="cite" style="color: #007cff;">Do you have a

        script to base64 an 'included' .conf into a TXT record,

        <br>

        so it can be consumed elsewhere?

        <br>

      </blockquote>

      <br>

      That's an interesting idea (JP loves TXT records 😉, but do keep

      in mind that

      <br>

      individual segments of a TXT may not be larger than 255 octets and

      the whole

      <br>

      RRset not larger than 64k which could be limiting.

    </blockquote>

  </body>

</html>