¿Qué es la delegación CNAME?

Una descripción conceptual de la delegación CNAME: qué es, cómo la utiliza QuietLS y por qué es importante.

¿Qué es un registro CNAME?

Un registro CNAME (Canonical Name) es un tipo de registro DNS que asigna un nombre de dominio a otro. Cuando un resolvedor DNS encuentra un CNAME, sigue el alias y resuelve el nombre de destino.

Ejemplo:

blog.example.com.   CNAME   example.github.io.

En este ejemplo, cualquiera que consulte blog.example.com será redirigido de forma transparente a example.github.io a nivel de DNS.

¿Qué es la delegación CNAME?

La delegación CNAME es la práctica de apuntar un subdominio específico a un servicio de terceros mediante un registro CNAME, delegando efectivamente el control de ese nombre al servicio.

La idea clave: creas el CNAME una sola vez, y a partir de ese momento el servicio de terceros controla a qué resuelve ese subdominio — sin que necesites hacer más cambios en el DNS.

Este patrón se utiliza ampliamente para:

Verificación de dominios (demostrar propiedad a un servicio)
Validación de certificados SSL (desafíos ACME DNS-01)
Autenticación de correo electrónico (DKIM, SPF mediante include)
Configuración de CDN

Cómo utiliza QuietLS la delegación CNAME

QuietLS utiliza la delegación CNAME para verificar que eres propietario de tu dominio. Cuando añades un dominio, QuietLS te pide crear un único registro CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Esto es lo que significa cada parte:

_pki-validation.example.com: Un subdominio bajo tu dominio. El prefijo _pki-validation es una convención que señala «este nombre se utiliza para la validación PKI (Public Key Infrastructure)». No afecta a tu sitio web, correo electrónico ni ningún otro servicio.

<token>.verification.quietls.com: El destino, alojado en la infraestructura de QuietLS. El token es un identificador único generado a partir de tu cuenta y nombre de dominio.

Qué ocurre durante la verificación

Creas el registro CNAME en tu proveedor DNS.
QuietLS consulta servidores DNS públicos (Google 8.8.8.8 y Cloudflare 1.1.1.1) para encontrar un registro CNAME en _pki-validation.example.com.
Si el valor resuelto coincide con el token esperado, se confirma la propiedad.

¿Por qué delegación CNAME?

Configuración única

Añades el registro CNAME una vez. Después de eso, QuietLS puede verificar tu dominio en cualquier momento sin necesidad de que vuelvas a iniciar sesión en tu proveedor DNS.

Sin pasos manuales continuos

A diferencia de la verificación basada en archivos (subir un archivo a tu servidor web) o la verificación por correo electrónico, la delegación CNAME no depende de que tu servidor sea accesible ni de que exista una dirección de correo específica.

No intrusivo

El subdominio _pki-validation es un espacio de nombres dedicado que no interfiere con tu sitio web, correo electrónico ni ningún otro registro DNS. Es invisible para tus usuarios.

Funciona para todos los tipos de dominio

La delegación CNAME funciona de la misma manera para dominios individuales (example.com), subdominios (app.example.com) y dominios comodín (*.example.com).

Modelo de seguridad

Token único por usuario y dominio

El token de verificación se deriva de una combinación del ID de tu cuenta de usuario y el nombre de dominio:

token = sha256(userId + ":" + domain)[0..32]

Esto significa:

Cada usuario recibe un token diferente para el mismo dominio.
Cada dominio recibe un token diferente para el mismo usuario.
El token es determinista — añadir el mismo dominio de nuevo produce el mismo token (no es necesario actualizar el DNS).

Protección contra cambios de propiedad

Como el token está vinculado a una cuenta de usuario específica, transferir un dominio a un nuevo propietario invalida la verificación anterior. Si otra persona añade el mismo dominio a su cuenta de QuietLS, recibirá un token diferente y deberá crear su propio registro CNAME. El CNAME del propietario anterior ya no coincide y su dominio queda sin verificar.

Resolución DNS pública

QuietLS verifica los registros CNAME a través de resolvedores DNS públicos (Google y Cloudflare), no mediante consultas directas a tus servidores de nombres. Esto garantiza que el registro está propagado globalmente y es visible, coincidiendo con lo que las autoridades certificadoras verían durante la validación SSL real.

¿Qué es la delegación CNAME?

Una descripción conceptual de la delegación CNAME: qué es, cómo la utiliza QuietLS y por qué es importante.

¿Qué es un registro CNAME?

Un registro CNAME (Canonical Name) es un tipo de registro DNS que asigna un nombre de dominio a otro. Cuando un resolvedor DNS encuentra un CNAME, sigue el alias y resuelve el nombre de destino.

Ejemplo:

blog.example.com.   CNAME   example.github.io.

En este ejemplo, cualquiera que consulte blog.example.com será redirigido de forma transparente a example.github.io a nivel de DNS.

¿Qué es la delegación CNAME?

La delegación CNAME es la práctica de apuntar un subdominio específico a un servicio de terceros mediante un registro CNAME, delegando efectivamente el control de ese nombre al servicio.

La idea clave: creas el CNAME una sola vez, y a partir de ese momento el servicio de terceros controla a qué resuelve ese subdominio — sin que necesites hacer más cambios en el DNS.

Este patrón se utiliza ampliamente para:

Verificación de dominios (demostrar propiedad a un servicio)
Validación de certificados SSL (desafíos ACME DNS-01)
Autenticación de correo electrónico (DKIM, SPF mediante include)
Configuración de CDN

Cómo utiliza QuietLS la delegación CNAME

QuietLS utiliza la delegación CNAME para verificar que eres propietario de tu dominio. Cuando añades un dominio, QuietLS te pide crear un único registro CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Esto es lo que significa cada parte:

<token>.verification.quietls.com: El destino, alojado en la infraestructura de QuietLS. El token es un identificador único generado a partir de tu cuenta y nombre de dominio.

Qué ocurre durante la verificación

Creas el registro CNAME en tu proveedor DNS.
QuietLS consulta servidores DNS públicos (Google 8.8.8.8 y Cloudflare 1.1.1.1) para encontrar un registro CNAME en _pki-validation.example.com.
Si el valor resuelto coincide con el token esperado, se confirma la propiedad.

¿Por qué delegación CNAME?

Configuración única

Añades el registro CNAME una vez. Después de eso, QuietLS puede verificar tu dominio en cualquier momento sin necesidad de que vuelvas a iniciar sesión en tu proveedor DNS.

Sin pasos manuales continuos

No intrusivo

El subdominio _pki-validation es un espacio de nombres dedicado que no interfiere con tu sitio web, correo electrónico ni ningún otro registro DNS. Es invisible para tus usuarios.

Funciona para todos los tipos de dominio

La delegación CNAME funciona de la misma manera para dominios individuales (example.com), subdominios (app.example.com) y dominios comodín (*.example.com).

Modelo de seguridad

Token único por usuario y dominio

El token de verificación se deriva de una combinación del ID de tu cuenta de usuario y el nombre de dominio:

token = sha256(userId + ":" + domain)[0..32]

Esto significa:

Cada usuario recibe un token diferente para el mismo dominio.
Cada dominio recibe un token diferente para el mismo usuario.
El token es determinista — añadir el mismo dominio de nuevo produce el mismo token (no es necesario actualizar el DNS).