diff --git a/README.md b/README.md
index 11861d8a93cc9ae2aff2d3ba567aaa7f2e4a4bf0..95ff45939acaadd78d051f1a92a56bd303c5bb96 100644
--- a/README.md
+++ b/README.md
@@ -87,6 +87,14 @@ _443._tcp.example.com. IN TLSA 0 0 1 989a3aaa5862dede9b42d6f05eabd639a60f5d526c4
 # aus: openssl x509 -in fau-ca.txt -outform DER | openssl sha256
 ```
 
+Das gibts als kurzes praktisches Makro im Uni-DNS:
+
+```
+TLSA_PIN_HTTPS_TO_FAUCA(hostname)
+```
+
+Näheres weiss der DNS-Admin deines Vertrauens.
+
 ## HTTPS Public Key Pinning (HPKP)
 
 *Achtung: HPKP ist riskant und es ist sehr leicht moeglich das so kaputtzukonfigurieren, dass ein Hostname auf lange Zeit unbenutzbar "verseucht" ist. Finger weg, ausser du weisst ganz genau was du tust.*