Mis on CNAME delegeerimine?

Kontseptuaalne ülevaade CNAME delegeerimisest: mis see on, kuidas QuietLS seda kasutab ja miks see oluline on.

Mis on CNAME-kirje?

CNAME (Canonical Name) kirje on DNS-kirje tüüp, mis seob ühe domeeninime teisega. Kui DNS-resolver kohtab CNAME-kirjet, järgib ta aliast ja lahendab sihtnime.

Näide:

blog.example.com.   CNAME   example.github.io.

Selles näites igaüks, kes otsib blog.example.com, suunatakse läbipaistvalt example.github.io-le DNS-tasemel.

Mis on CNAME delegeerimine?

CNAME delegeerimine on praktika, mille puhul osutatakse konkreetne alamdomeen kolmanda osapoole teenusele CNAME-kirje kaudu, delegeerides sellega selle nime kontrolli teenusele.

Põhiidee: loote CNAME-i üks kord ja sellest hetkest alates kontrollib kolmanda osapoole teenus, mida see alamdomeen lahendab — ilma et peaksite tegema täiendavaid DNS-muudatusi.

Seda mustrit kasutatakse laialdaselt:

Domeeni kinnitamine (omandiõiguse tõestamine teenusele)
SSL-sertifikaadi valideerimine (ACME DNS-01 väljakutsed)
E-posti autentimine (DKIM, SPF include kaudu)
CDN-i konfigureerimine

Kuidas QuietLS kasutab CNAME delegeerimist

QuietLS kasutab CNAME delegeerimist, et kinnitada, et domeen kuulub teile. Kui lisate domeeni, palub QuietLS teil luua üks CNAME-kirje:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Siin on iga osa tähendus:

_pki-validation.example.com: Alamdomeen teie domeeni all. Eesliide _pki-validation on konventsioon, mis tähistab "seda nime kasutatakse PKI (Public Key Infrastructure) valideerimiseks." See ei mõjuta teie veebisaiti, e-posti ega muid teenuseid.

<token>.verification.quietls.com: Sihtkoht, mis asub QuietLS infrastruktuuris. Luba on unikaalne identifikaator, mis on genereeritud teie kontost ja domeeninimest.

Mis juhtub kinnitamise ajal

Loote CNAME-kirje oma DNS-pakkujas.
QuietLS pärib avalikest DNS-serveritest (Google 8.8.8.8 ja Cloudflare 1.1.1.1) CNAME-kirjet aadressil _pki-validation.example.com.
Kui lahendatud väärtus vastab oodatule lubale, kinnitatakse omandiõigus.

Miks CNAME delegeerimine?

Ühekordne seadistamine

Lisate CNAME-kirje üks kord. Pärast seda saab QuietLS teie domeeni igal ajal kinnitada ilma, et peaksite uuesti oma DNS-pakkuja sisse logima.

Pidevaid käsitsi samme pole vaja

Erinevalt failipõhisest kinnitamisest (faili üleslaadimine veebiserverisse) või e-postipõhisest kinnitamisest, ei sõltu DNS CNAME delegeerimine teie serveri kättesaadavusest ega konkreetse e-posti aadressi olemasolust.

Mittepuistav

Alamdomeen _pki-validation on eraldatud nimeruum, mis ei sega teie veebisaiti, e-posti ega muid DNS-kirjeid. See on teie kasutajatele nähtamatu.

Töötab kõigi domeenitüüpidega

CNAME delegeerimine toimib samamoodi üksikute domeenide (example.com), alamdomeenide (app.example.com) ja metamärgiga domeenide (*.example.com) puhul.

Turvalisuse mudel

Unikaalne luba kasutaja ja domeeni kohta

Kinnitamise luba tuletatakse teie kasutajakonto ID ja domeeninime kombinatsioonist:

token = sha256(userId + ":" + domain)[0..32]

See tähendab:

Iga kasutaja saab sama domeeni jaoks erineva loa.
Iga domeen saab sama kasutaja jaoks erineva loa.
Luba on deterministlik — sama domeeni taaslisamine toodab sama loa (DNS-i pole vaja uuendada).

Kaitus omandivahetuste vastu

Kuna luba on seotud konkreetse kasutajakontoga, domeeni üleandmine uuele omanikule tühistab varasema kinnituse. Kui keegi teine lisab sama domeeni oma QuietLS kontole, saab ta erineva loa ja peab looma oma CNAME-kirje. Varasema omaniku CNAME ei vasta enam ja nende domeen muutub kinnitamataks.

Avalik DNS-lahendus

QuietLS kinnitab CNAME-kirjeid avalike DNS-resolverite (Google ja Cloudflare) kaudu, mitte otse teie nameserveritesse pärides. See tagab, et kirje on globaalselt levitatud ja nähtav, vastavuses sellega, mida sertifikaadiautoriidid näeksid tegeliku SSL-valideerimise käigus.

Mis on CNAME delegeerimine?

Kontseptuaalne ülevaade CNAME delegeerimisest: mis see on, kuidas QuietLS seda kasutab ja miks see oluline on.

Mis on CNAME-kirje?

CNAME (Canonical Name) kirje on DNS-kirje tüüp, mis seob ühe domeeninime teisega. Kui DNS-resolver kohtab CNAME-kirjet, järgib ta aliast ja lahendab sihtnime.

Näide:

blog.example.com.   CNAME   example.github.io.

Selles näites igaüks, kes otsib blog.example.com, suunatakse läbipaistvalt example.github.io-le DNS-tasemel.

Mis on CNAME delegeerimine?

CNAME delegeerimine on praktika, mille puhul osutatakse konkreetne alamdomeen kolmanda osapoole teenusele CNAME-kirje kaudu, delegeerides sellega selle nime kontrolli teenusele.

Põhiidee: loote CNAME-i üks kord ja sellest hetkest alates kontrollib kolmanda osapoole teenus, mida see alamdomeen lahendab — ilma et peaksite tegema täiendavaid DNS-muudatusi.

Seda mustrit kasutatakse laialdaselt:

Domeeni kinnitamine (omandiõiguse tõestamine teenusele)
SSL-sertifikaadi valideerimine (ACME DNS-01 väljakutsed)
E-posti autentimine (DKIM, SPF include kaudu)
CDN-i konfigureerimine

Kuidas QuietLS kasutab CNAME delegeerimist

QuietLS kasutab CNAME delegeerimist, et kinnitada, et domeen kuulub teile. Kui lisate domeeni, palub QuietLS teil luua üks CNAME-kirje:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Siin on iga osa tähendus:

<token>.verification.quietls.com: Sihtkoht, mis asub QuietLS infrastruktuuris. Luba on unikaalne identifikaator, mis on genereeritud teie kontost ja domeeninimest.

Mis juhtub kinnitamise ajal

Loote CNAME-kirje oma DNS-pakkujas.
QuietLS pärib avalikest DNS-serveritest (Google 8.8.8.8 ja Cloudflare 1.1.1.1) CNAME-kirjet aadressil _pki-validation.example.com.
Kui lahendatud väärtus vastab oodatule lubale, kinnitatakse omandiõigus.

Miks CNAME delegeerimine?

Ühekordne seadistamine

Lisate CNAME-kirje üks kord. Pärast seda saab QuietLS teie domeeni igal ajal kinnitada ilma, et peaksite uuesti oma DNS-pakkuja sisse logima.

Pidevaid käsitsi samme pole vaja

Mittepuistav

Alamdomeen _pki-validation on eraldatud nimeruum, mis ei sega teie veebisaiti, e-posti ega muid DNS-kirjeid. See on teie kasutajatele nähtamatu.

Töötab kõigi domeenitüüpidega

CNAME delegeerimine toimib samamoodi üksikute domeenide (example.com), alamdomeenide (app.example.com) ja metamärgiga domeenide (*.example.com) puhul.

Turvalisuse mudel

Unikaalne luba kasutaja ja domeeni kohta

Kinnitamise luba tuletatakse teie kasutajakonto ID ja domeeninime kombinatsioonist:

token = sha256(userId + ":" + domain)[0..32]

See tähendab:

Iga kasutaja saab sama domeeni jaoks erineva loa.
Iga domeen saab sama kasutaja jaoks erineva loa.
Luba on deterministlik — sama domeeni taaslisamine toodab sama loa (DNS-i pole vaja uuendada).