Mikä on CNAME-delegaatio?

Konseptuaalinen katsaus CNAME-delegaatioon: mikä se on, miten QuietLS käyttää sitä ja miksi se on tärkeää.

Mikä on CNAME-tietue?

CNAME (Canonical Name) -tietue on DNS-tietuetyyppi, joka yhdistää yhden verkkotunnuksen nimen toiseen. Kun DNS-resolver kohtaa CNAME-tietueen, se seuraa aliasta ja ratkaisee kohdenimen.

Esimerkki:

blog.example.com.   CNAME   example.github.io.

Tässä esimerkissä kaikki, jotka hakevat blog.example.com, ohjataan läpinäkyvästi osoitteeseen example.github.io DNS-tasolla.

Mikä on CNAME-delegaatio?

CNAME-delegaatio on käytäntö, jossa tietty aliverkkotunnus osoitetaan kolmannen osapuolen palveluun CNAME-tietueen avulla, mikä käytännössä siirtää kyseisen nimen hallinnan palvelulle.

Keskeinen idea: luot CNAME-tietueen kerran, ja sen jälkeen kolmannen osapuolen palvelu hallitsee sitä, mihin aliverkkotunnus ratkeaa — ilman, että sinun tarvitsee tehdä muita DNS-muutoksia.

Tätä mallia käytetään laajasti:

Verkkotunnuksen vahvistaminen (omistajuuden todistaminen palvelulle)
SSL-varmenteen validointi (ACME DNS-01 -haasteet)
Sähköpostin todennus (DKIM, SPF include-menetelmällä)
CDN-määritys

Miten QuietLS käyttää CNAME-delegaatiota

QuietLS käyttää CNAME-delegaatiota vahvistaakseen, että omistat verkkotunnuksesi. Kun lisäät verkkotunnuksen, QuietLS pyytää sinua luomaan yhden CNAME-tietueen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Tässä on kunkin osan merkitys:

_pki-validation.example.com: Aliverkkotunnus verkkotunnuksesi alla. Etuliite _pki-validation on käytäntö, joka ilmaisee, että "tätä nimeä käytetään PKI (Public Key Infrastructure) -validointiin." Se ei vaikuta verkkosivustoosi, sähköpostiisi tai muihin palveluihin.

<token>.verification.quietls.com: Kohde, joka sijaitsee QuietLS-infrastruktuurissa. Tunniste on yksilöllinen, ja se luodaan tililtäsi ja verkkotunnuksesi nimestä.

Mitä tapahtuu vahvistuksen aikana

Luot CNAME-tietueen DNS-palveluntarjoajaasi.
QuietLS kysyy julkisista DNS-palvelimista (Google 8.8.8.8 ja Cloudflare 1.1.1.1) CNAME-tietuetta osoitteesta _pki-validation.example.com.
Jos ratkaistu arvo vastaa odotettua tunnistetta, omistajuus vahvistetaan.

Miksi CNAME-delegaatio?

Kertaluonteinen asennus

Lisää CNAME-tietue kerran. Sen jälkeen QuietLS voi vahvistaa verkkotunnuksesi milloin tahansa ilman, että sinun tarvitsee kirjautua uudelleen DNS-palveluntarjoajaasi.

Ei jatkuvia manuaalisia toimenpiteitä

Toisin kuin tiedostopohjainen vahvistus (tiedoston lataaminen web-palvelimelle) tai sähköpostipohjainen vahvistus, DNS CNAME-delegaatio ei riipu palvelimesi tavoitettavuudesta tai tietyn sähköpostiosoitteen olemassaolosta.

Häiriötön

Aliverkkotunnus _pki-validation on erillinen nimitila, joka ei häiritse verkkosivustoasi, sähköpostiasi tai muita DNS-tietueita. Se on käyttäjillesi näkymätön.

Toimii kaikille verkkotunnustyypeille

CNAME-delegaatio toimii samalla tavalla yksittäisille verkkotunnuksille (example.com), aliverkkotunnuksille (app.example.com) ja jokerimerkille (*.example.com).

Turvallisuusmalli

Yksilöllinen tunniste per käyttäjä ja verkkotunnus

Vahvistustunniste johdetaan käyttäjätilin ID:n ja verkkotunnuksen nimen yhdistelmästä:

token = sha256(userId + ":" + domain)[0..32]

Tämä tarkoittaa:

Jokainen käyttäjä saa eri tunnisteen samalle verkkotunnukselle.
Jokainen verkkotunnus saa eri tunnisteen samalle käyttäjälle.
Tunniste on deterministinen — saman verkkotunnuksen uudelleen lisääminen tuottaa saman tunnisteen (DNS:ää ei tarvitse päivittää).

Suoja omistajuuden muutoksia vastaan

Koska tunniste on sidottu tiettyyn käyttäjätiliin, verkkotunnuksen siirtäminen uudelle omistajalle mitätöi aiemman vahvistuksen. Jos joku toinen lisää saman verkkotunnuksen QuietLS-tililleen, hän saa eri tunnisteen ja hänen on luotava oma CNAME-tietueensa. Edellisen omistajan CNAME ei enää täsmää ja hänen verkkotunnuksensa vahvistus poistetaan.

Julkinen DNS-ratkaisu

QuietLS vahvistaa CNAME-tietueet julkisten DNS-resolverien (Google ja Cloudflare) kautta, ei suorilla kyselyillä nimipalvelimiisi. Tämä varmistaa, että tietue on globaalisti levinnyt ja näkyvissä, vastaten sitä, mitä varmentajat näkisivät todellisen SSL-validoinnin aikana.

Mikä on CNAME-delegaatio?

Konseptuaalinen katsaus CNAME-delegaatioon: mikä se on, miten QuietLS käyttää sitä ja miksi se on tärkeää.

Mikä on CNAME-tietue?

CNAME (Canonical Name) -tietue on DNS-tietuetyyppi, joka yhdistää yhden verkkotunnuksen nimen toiseen. Kun DNS-resolver kohtaa CNAME-tietueen, se seuraa aliasta ja ratkaisee kohdenimen.

Esimerkki:

blog.example.com.   CNAME   example.github.io.

Tässä esimerkissä kaikki, jotka hakevat blog.example.com, ohjataan läpinäkyvästi osoitteeseen example.github.io DNS-tasolla.

Mikä on CNAME-delegaatio?

CNAME-delegaatio on käytäntö, jossa tietty aliverkkotunnus osoitetaan kolmannen osapuolen palveluun CNAME-tietueen avulla, mikä käytännössä siirtää kyseisen nimen hallinnan palvelulle.

Keskeinen idea: luot CNAME-tietueen kerran, ja sen jälkeen kolmannen osapuolen palvelu hallitsee sitä, mihin aliverkkotunnus ratkeaa — ilman, että sinun tarvitsee tehdä muita DNS-muutoksia.

Tätä mallia käytetään laajasti:

Verkkotunnuksen vahvistaminen (omistajuuden todistaminen palvelulle)
SSL-varmenteen validointi (ACME DNS-01 -haasteet)
Sähköpostin todennus (DKIM, SPF include-menetelmällä)
CDN-määritys

Miten QuietLS käyttää CNAME-delegaatiota

QuietLS käyttää CNAME-delegaatiota vahvistaakseen, että omistat verkkotunnuksesi. Kun lisäät verkkotunnuksen, QuietLS pyytää sinua luomaan yhden CNAME-tietueen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Tässä on kunkin osan merkitys:

<token>.verification.quietls.com: Kohde, joka sijaitsee QuietLS-infrastruktuurissa. Tunniste on yksilöllinen, ja se luodaan tililtäsi ja verkkotunnuksesi nimestä.

Mitä tapahtuu vahvistuksen aikana

Luot CNAME-tietueen DNS-palveluntarjoajaasi.
QuietLS kysyy julkisista DNS-palvelimista (Google 8.8.8.8 ja Cloudflare 1.1.1.1) CNAME-tietuetta osoitteesta _pki-validation.example.com.
Jos ratkaistu arvo vastaa odotettua tunnistetta, omistajuus vahvistetaan.

Miksi CNAME-delegaatio?

Kertaluonteinen asennus

Lisää CNAME-tietue kerran. Sen jälkeen QuietLS voi vahvistaa verkkotunnuksesi milloin tahansa ilman, että sinun tarvitsee kirjautua uudelleen DNS-palveluntarjoajaasi.

Ei jatkuvia manuaalisia toimenpiteitä

Häiriötön

Aliverkkotunnus _pki-validation on erillinen nimitila, joka ei häiritse verkkosivustoasi, sähköpostiasi tai muita DNS-tietueita. Se on käyttäjillesi näkymätön.

Toimii kaikille verkkotunnustyypeille

CNAME-delegaatio toimii samalla tavalla yksittäisille verkkotunnuksille (example.com), aliverkkotunnuksille (app.example.com) ja jokerimerkille (*.example.com).

Turvallisuusmalli

Yksilöllinen tunniste per käyttäjä ja verkkotunnus

Vahvistustunniste johdetaan käyttäjätilin ID:n ja verkkotunnuksen nimen yhdistelmästä:

token = sha256(userId + ":" + domain)[0..32]

Tämä tarkoittaa:

Jokainen käyttäjä saa eri tunnisteen samalle verkkotunnukselle.
Jokainen verkkotunnus saa eri tunnisteen samalle käyttäjälle.
Tunniste on deterministinen — saman verkkotunnuksen uudelleen lisääminen tuottaa saman tunnisteen (DNS:ää ei tarvitse päivittää).