Che cos'è la delega CNAME?

Una panoramica concettuale della delega CNAME: cos'è, come la utilizza QuietLS e perché è importante.

Che cos'è un record CNAME?

Un record CNAME (Canonical Name) è un tipo di record DNS che mappa un nome di dominio verso un altro. Quando un resolver DNS incontra un CNAME, segue l'alias e risolve il nome di destinazione.

Esempio:

blog.example.com.   CNAME   example.github.io.

In questo esempio, chiunque effettui una ricerca su blog.example.com viene reindirizzato in modo trasparente verso example.github.io a livello DNS.

Che cos'è la delega CNAME?

La delega CNAME è la pratica di puntare un sottodominio specifico verso un servizio di terze parti tramite un record CNAME, delegando di fatto il controllo di quel nome al servizio.

L'idea chiave: crei il CNAME una sola volta, e da quel momento in poi il servizio di terze parti controlla a cosa risolve quel sottodominio — senza che tu debba apportare ulteriori modifiche al DNS.

Questo modello è ampiamente utilizzato per:

Verifica del dominio (dimostrare la proprietà a un servizio)
Validazione dei certificati SSL (sfide ACME DNS-01)
Autenticazione delle e-mail (DKIM, SPF tramite include)
Configurazione di CDN

Come QuietLS utilizza la delega CNAME

QuietLS utilizza la delega CNAME per verificare che sei il proprietario del tuo dominio. Quando aggiungi un dominio, QuietLS ti chiede di creare un singolo record CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Ecco cosa significa ciascuna parte:

_pki-validation.example.com: Un sottodominio sotto il tuo dominio. Il prefisso _pki-validation è una convenzione che segnala «questo nome è utilizzato per la validazione PKI (Public Key Infrastructure)». Non influisce sul tuo sito web, sulle e-mail o su qualsiasi altro servizio.

<token>.verification.quietls.com: La destinazione, ospitata sull'infrastruttura di QuietLS. Il token è un identificativo univoco generato a partire dal tuo account e dal nome di dominio.

Cosa succede durante la verifica

Crei il record CNAME nel tuo provider DNS.
QuietLS interroga i server DNS pubblici (Google 8.8.8.8 e Cloudflare 1.1.1.1) per trovare un record CNAME su _pki-validation.example.com.
Se il valore risolto corrisponde al token atteso, la proprietà viene confermata.

Perché la delega CNAME?

Configurazione una tantum

Aggiungi il record CNAME una sola volta. Da quel momento, QuietLS può verificare il tuo dominio in qualsiasi momento senza che tu debba accedere nuovamente al tuo provider DNS.

Nessun intervento manuale continuativo

A differenza della verifica basata su file (caricare un file sul tuo server web) o della verifica via e-mail, la delega CNAME non dipende dall'accessibilità del tuo server né dall'esistenza di un indirizzo e-mail specifico.

Non intrusivo

Il sottodominio _pki-validation è uno spazio di nomi dedicato che non interferisce con il tuo sito web, le e-mail o qualsiasi altro record DNS. È invisibile ai tuoi utenti.

Funziona per tutti i tipi di dominio

La delega CNAME funziona allo stesso modo per domini singoli (example.com), sottodomini (app.example.com) e domini jolly (*.example.com).

Modello di sicurezza

Token univoco per utente e dominio

Il token di verifica è derivato da una combinazione dell'ID del tuo account utente e del nome di dominio:

token = sha256(userId + ":" + domain)[0..32]

Ciò significa:

Ogni utente riceve un token diverso per lo stesso dominio.
Ogni dominio riceve un token diverso per lo stesso utente.
Il token è deterministico — aggiungere nuovamente lo stesso dominio produce lo stesso token (non è necessario aggiornare il DNS).

Protezione contro i cambi di proprietà

Poiché il token è legato a uno specifico account utente, il trasferimento di un dominio a un nuovo proprietario invalida la verifica precedente. Se qualcun altro aggiunge lo stesso dominio al proprio account QuietLS, riceverà un token diverso e dovrà creare il proprio record CNAME. Il CNAME del precedente proprietario non corrisponde più e il suo dominio diventa non verificato.

Risoluzione DNS pubblica

QuietLS verifica i record CNAME tramite resolver DNS pubblici (Google e Cloudflare), non tramite query dirette ai tuoi nameserver. Ciò garantisce che il record sia propagato a livello globale e visibile, corrispondendo a ciò che le autorità di certificazione vedrebbero durante l'effettiva validazione SSL.

Che cos'è la delega CNAME?

Una panoramica concettuale della delega CNAME: cos'è, come la utilizza QuietLS e perché è importante.

Che cos'è un record CNAME?

Un record CNAME (Canonical Name) è un tipo di record DNS che mappa un nome di dominio verso un altro. Quando un resolver DNS incontra un CNAME, segue l'alias e risolve il nome di destinazione.

Esempio:

blog.example.com.   CNAME   example.github.io.

In questo esempio, chiunque effettui una ricerca su blog.example.com viene reindirizzato in modo trasparente verso example.github.io a livello DNS.

Che cos'è la delega CNAME?

La delega CNAME è la pratica di puntare un sottodominio specifico verso un servizio di terze parti tramite un record CNAME, delegando di fatto il controllo di quel nome al servizio.

Questo modello è ampiamente utilizzato per:

Verifica del dominio (dimostrare la proprietà a un servizio)
Validazione dei certificati SSL (sfide ACME DNS-01)
Autenticazione delle e-mail (DKIM, SPF tramite include)
Configurazione di CDN

Come QuietLS utilizza la delega CNAME

QuietLS utilizza la delega CNAME per verificare che sei il proprietario del tuo dominio. Quando aggiungi un dominio, QuietLS ti chiede di creare un singolo record CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Ecco cosa significa ciascuna parte:

<token>.verification.quietls.com: La destinazione, ospitata sull'infrastruttura di QuietLS. Il token è un identificativo univoco generato a partire dal tuo account e dal nome di dominio.

Cosa succede durante la verifica

Crei il record CNAME nel tuo provider DNS.
QuietLS interroga i server DNS pubblici (Google 8.8.8.8 e Cloudflare 1.1.1.1) per trovare un record CNAME su _pki-validation.example.com.
Se il valore risolto corrisponde al token atteso, la proprietà viene confermata.

Perché la delega CNAME?

Configurazione una tantum

Aggiungi il record CNAME una sola volta. Da quel momento, QuietLS può verificare il tuo dominio in qualsiasi momento senza che tu debba accedere nuovamente al tuo provider DNS.

Nessun intervento manuale continuativo

Non intrusivo

Il sottodominio _pki-validation è uno spazio di nomi dedicato che non interferisce con il tuo sito web, le e-mail o qualsiasi altro record DNS. È invisibile ai tuoi utenti.

Funziona per tutti i tipi di dominio

La delega CNAME funziona allo stesso modo per domini singoli (example.com), sottodomini (app.example.com) e domini jolly (*.example.com).

Modello di sicurezza

Token univoco per utente e dominio

Il token di verifica è derivato da una combinazione dell'ID del tuo account utente e del nome di dominio:

token = sha256(userId + ":" + domain)[0..32]

Ciò significa:

Ogni utente riceve un token diverso per lo stesso dominio.
Ogni dominio riceve un token diverso per lo stesso utente.
Il token è deterministico — aggiungere nuovamente lo stesso dominio produce lo stesso token (non è necessario aggiornare il DNS).