Was ist CNAME-Delegation?

Ein konzeptioneller Überblick über CNAME-Delegation: was sie ist, wie QuietLS sie nutzt und warum sie wichtig ist.

Was ist ein CNAME-Eintrag?

Ein CNAME-Eintrag (Canonical Name) ist eine Art DNS-Eintrag, der einen Domainnamen auf einen anderen abbildet. Wenn ein DNS-Resolver auf einen CNAME stößt, folgt er dem Alias und löst stattdessen den Zielnamen auf.

Beispiel:

blog.example.com.   CNAME   example.github.io.

In diesem Beispiel wird jeder, der blog.example.com auflöst, auf DNS-Ebene transparent zu example.github.io umgeleitet.

Was ist CNAME-Delegation?

CNAME-Delegation ist die Praxis, eine bestimmte Subdomain über einen CNAME-Eintrag auf einen Drittanbieter-Dienst verweisen zu lassen und damit die Kontrolle über diesen Namen an den Dienst zu delegieren.

Das Grundprinzip: Sie erstellen den CNAME einmalig, und von da an steuert der Drittanbieter-Dienst, worauf die Subdomain verweist — ohne dass Sie weitere DNS-Änderungen vornehmen müssen.

Dieses Muster wird häufig verwendet für:

Domain-Verifizierung (Nachweis der Inhaberschaft gegenüber einem Dienst)
SSL-Zertifikatsvalidierung (ACME DNS-01-Challenges)
E-Mail-Authentifizierung (DKIM, SPF via include)
CDN-Konfiguration

Wie QuietLS CNAME-Delegation nutzt

QuietLS nutzt CNAME-Delegation, um zu verifizieren, dass Sie Inhaber Ihrer Domain sind. Wenn Sie eine Domain hinzufügen, bittet QuietLS Sie, einen einzelnen CNAME-Eintrag zu erstellen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hier ist die Bedeutung der einzelnen Bestandteile:

_pki-validation.example.com: Eine Subdomain unter Ihrer Domain. Das Präfix _pki-validation ist eine Konvention, die signalisiert: „Dieser Name wird zur PKI-Validierung (Public Key Infrastructure) verwendet." Er hat keine Auswirkungen auf Ihre Website, E-Mail oder andere Dienste.

<token>.verification.quietls.com: Das Ziel, gehostet auf der QuietLS-Infrastruktur. Das Token ist eine eindeutige Kennung, die aus Ihrem Konto und Ihrem Domainnamen generiert wird.

Was während der Verifizierung passiert

Sie erstellen den CNAME-Eintrag bei Ihrem DNS-Anbieter.
QuietLS fragt öffentliche DNS-Server (Google 8.8.8.8 und Cloudflare 1.1.1.1) nach einem CNAME-Eintrag unter _pki-validation.example.com ab.
Wenn der aufgelöste Wert mit dem erwarteten Token übereinstimmt, wird die Inhaberschaft bestätigt.

Warum CNAME-Delegation?

Einmalige Einrichtung

Sie fügen den CNAME-Eintrag einmal hinzu. Danach kann QuietLS Ihre Domain jederzeit verifizieren, ohne dass Sie sich erneut bei Ihrem DNS-Anbieter anmelden müssen.

Keine fortlaufenden manuellen Schritte

Im Gegensatz zur dateibasierten Verifizierung (Hochladen einer Datei auf Ihren Webserver) oder zur e-mailbasierten Verifizierung hängt die DNS-CNAME-Delegation nicht davon ab, dass Ihr Server erreichbar ist oder eine bestimmte E-Mail-Adresse existiert.

Nicht-einmischend

Die Subdomain _pki-validation ist ein dedizierter Namespace, der sich nicht in Ihre Website, E-Mail oder andere DNS-Einträge einmischt. Er ist für Ihre Nutzer unsichtbar.

Funktioniert für alle Domain-Typen

CNAME-Delegation funktioniert gleichermaßen für Einzeldomains (example.com), Subdomains (app.example.com) und Wildcard-Domains (*.example.com).

Sicherheitsmodell

Eindeutiges Token pro Nutzer und Domain

Das Verifizierungs-Token wird aus einer Kombination Ihrer Nutzerkonto-ID und des Domainnamens abgeleitet:

token = sha256(userId + ":" + domain)[0..32]

Das bedeutet:

Jeder Nutzer erhält ein anderes Token für dieselbe Domain.
Jede Domain erhält ein anderes Token für denselben Nutzer.
Das Token ist deterministisch — das erneute Hinzufügen derselben Domain erzeugt dasselbe Token (kein Update des DNS-Eintrags erforderlich).

Schutz bei Inhaberwechsel

Da das Token an ein bestimmtes Nutzerkonto gebunden ist, wird bei der Übertragung einer Domain an einen neuen Inhaber die bisherige Verifizierung ungültig. Wenn eine andere Person dieselbe Domain zu ihrem QuietLS-Konto hinzufügt, erhält sie ein anderes Token und muss einen eigenen CNAME-Eintrag erstellen. Der CNAME des bisherigen Inhabers passt nicht mehr und die Domain wird als unverifiziert markiert.

Öffentliche DNS-Auflösung

QuietLS verifiziert CNAME-Einträge über öffentliche DNS-Resolver (Google und Cloudflare), nicht über direkte Abfragen Ihrer Nameserver. Dadurch wird sichergestellt, dass der Eintrag global propagiert und sichtbar ist — genau so, wie Zertifizierungsstellen ihn bei der tatsächlichen SSL-Validierung sehen würden.

Was ist CNAME-Delegation?

Ein konzeptioneller Überblick über CNAME-Delegation: was sie ist, wie QuietLS sie nutzt und warum sie wichtig ist.

Was ist ein CNAME-Eintrag?

Beispiel:

blog.example.com.   CNAME   example.github.io.

In diesem Beispiel wird jeder, der blog.example.com auflöst, auf DNS-Ebene transparent zu example.github.io umgeleitet.

Was ist CNAME-Delegation?

Das Grundprinzip: Sie erstellen den CNAME einmalig, und von da an steuert der Drittanbieter-Dienst, worauf die Subdomain verweist — ohne dass Sie weitere DNS-Änderungen vornehmen müssen.

Dieses Muster wird häufig verwendet für:

Domain-Verifizierung (Nachweis der Inhaberschaft gegenüber einem Dienst)
SSL-Zertifikatsvalidierung (ACME DNS-01-Challenges)
E-Mail-Authentifizierung (DKIM, SPF via include)
CDN-Konfiguration

Wie QuietLS CNAME-Delegation nutzt

QuietLS nutzt CNAME-Delegation, um zu verifizieren, dass Sie Inhaber Ihrer Domain sind. Wenn Sie eine Domain hinzufügen, bittet QuietLS Sie, einen einzelnen CNAME-Eintrag zu erstellen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hier ist die Bedeutung der einzelnen Bestandteile:

<token>.verification.quietls.com: Das Ziel, gehostet auf der QuietLS-Infrastruktur. Das Token ist eine eindeutige Kennung, die aus Ihrem Konto und Ihrem Domainnamen generiert wird.

Was während der Verifizierung passiert

Sie erstellen den CNAME-Eintrag bei Ihrem DNS-Anbieter.
QuietLS fragt öffentliche DNS-Server (Google 8.8.8.8 und Cloudflare 1.1.1.1) nach einem CNAME-Eintrag unter _pki-validation.example.com ab.
Wenn der aufgelöste Wert mit dem erwarteten Token übereinstimmt, wird die Inhaberschaft bestätigt.

Warum CNAME-Delegation?

Einmalige Einrichtung

Sie fügen den CNAME-Eintrag einmal hinzu. Danach kann QuietLS Ihre Domain jederzeit verifizieren, ohne dass Sie sich erneut bei Ihrem DNS-Anbieter anmelden müssen.

Keine fortlaufenden manuellen Schritte

Nicht-einmischend

Die Subdomain _pki-validation ist ein dedizierter Namespace, der sich nicht in Ihre Website, E-Mail oder andere DNS-Einträge einmischt. Er ist für Ihre Nutzer unsichtbar.

Funktioniert für alle Domain-Typen

CNAME-Delegation funktioniert gleichermaßen für Einzeldomains (example.com), Subdomains (app.example.com) und Wildcard-Domains (*.example.com).

Sicherheitsmodell

Eindeutiges Token pro Nutzer und Domain

Das Verifizierungs-Token wird aus einer Kombination Ihrer Nutzerkonto-ID und des Domainnamens abgeleitet:

token = sha256(userId + ":" + domain)[0..32]

Das bedeutet:

Jeder Nutzer erhält ein anderes Token für dieselbe Domain.
Jede Domain erhält ein anderes Token für denselben Nutzer.
Das Token ist deterministisch — das erneute Hinzufügen derselben Domain erzeugt dasselbe Token (kein Update des DNS-Eintrags erforderlich).