2

Таким образом, мы используем Route53, и я хотел настроить запись CNAME с подстановочными знаками, чтобы перенаправлять любые несопоставленные субдомены в наш основной домен. Я попробовал это, и все выглядит так, как будто все работает хорошо, но когда я сказал коллеге об этом, он был категорически против подстановочных записей CNAME, в которых говорилось, что есть проблемы / проблемы безопасности или что-то подобное, но не буду вдаваться в подробности. Поиски в Интернете не дали никакого объяснения этой проблеме, кроме проблем, связанных с конкретными реализациями DNS-серверов.

При этом существуют ли проблемы с безопасностью с записями CNAME с подстановочными знаками? Существуют ли проблемы с сертификатами SSL, если у вас есть только сертификат для домена верхнего уровня? т.е. означает ли перенаправление CNAME, что сервер, который видит сервер, будет субдоменом или доменом верхнего уровня? А как насчет вопросов перекрестного происхождения?

Он особенно предпочел пройти через настройку сервера на поддомене, который выполняет перенаправление 301 постоянно. Это кажется слишком сложным, когда DNS RFC 1034 и 2672 описывают механизм для этого, и Route53, кажется, поддерживает это просто отлично.

Если кто-либо прямо рекомендует не устанавливать подстановочные записи CNAME, можете ли вы объяснить, почему и при каких обстоятельствах вы рекомендуете это делать?

|источник

2 ответа2

1

Я использую шаблоны в течение многих лет, и у меня никогда не было проблем с этим. До сих пор я обнаружил, что мобильный телефон Windows 2003 в 2003 году был единственным устройством, которое неправильно обрабатывало шаблон.

ИМХО использование подстановочных знаков очень распространено сегодня, и проблемы возникают редко. С точки зрения безопасности вы получаете несколько дополнительных векторов атаки. Например, вы можете обратиться к «someevilXSScode.yourdomain.com» и по-прежнему заходить на исходный сайт. Только незначительная проблема ИМХО.

|источник
1

Там нет таких проблем безопасности.

Я должен отметить, однако, что DNS не предоставляет механизма для "перенаправления" per se любых запросов; CNAME определяет псевдоним для другого имени DNS, а сервер HTTP требуется на самом деле "перенаправить" браузер - в противном случае пользователь , который посещает whatever.example.com будет видеть whatever.example.com в их адресной строке браузера по- прежнему не example.com в качестве "перенаправления" как таковой будет действовать. Веб-сервер также будет видеть whatever.example.com в запросе, что может вызвать проблемы, если вы используете виртуальные хосты.

Это предостережение: на самом деле только два случая, когда записи DNS с подстановочными знаками могут вызывать проблемы:

  1. Вы не можете предоставить ответы NXDOMAIN, потому что каждый поддомен существует; это проблема только при использовании DNSSEC, и даже тогда это обычно не имеет значения.
  2. SSL может защитить только домен, для которого он выдан - однако подстановочный сертификат SSL, как вы уже сказали, устраняет эту проблему.

В вашем случае (исходя из того, что я почерпнул из вашего вопроса), я бы, скорее всего, использовал запись с подстановочными знаками вместе с веб-сервером, который обеспечивает перенаправление 301 на мой "правильный" адрес; Некоторые провайдеры DNS делают это удобным с помощью «веб-перенаправителя», просто имейте в виду, что технически это веб-сервер, который не находится под вашим контролем и отвечает на эти запросы перенаправлением 301. (Формулировка этого может показаться пугающей, но если это доверенная компания, не о чем беспокоиться, и если это не доверенная компания, вам вообще не следует размещать свой DNS с ними !!)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .