Wat ass CNAME-Delegatioun?

En konzeptuellen Iwwerbléck iwwer CNAME-Delegatioun: wat et ass, wéi QuietLS et notzt a firwat et wichteg ass.

Wat ass en CNAME-Ennträg?

En CNAME-Ennträg (Canonical Name) ass eng Zort DNS-Ennträg, déen een Domännnumm op en anere mappt. Wann en DNS-Resolver op en CNAME stéisst, suilt hien dem Alias no a léist amplaz den Zilnumm op.

Beispill:

blog.example.com.   CNAME   example.github.io.

An dësem Beispill gitt all deem, deen blog.example.com ofsicht, transparent op example.github.io op DNS-Niveau weidergeleet.

Wat ass CNAME-Delegatioun?

CNAME-Delegatioun ass d'Praxis, eng spezifesch Subdomän iwwer en CNAME-Ennträg op en Drëtt-Partei-Service zeweisen an domat d'Kontroll iwwer deem Numm un de Service ze delegéieren.

D'Iddi: Dir erstellt den CNAME emol, an vun do un bestëmmt den Drëtt-Partei-Service, wou déi Subdomän hiweist — ouni datt Dir weider DNS-Ännerunge maache musst.

Dëse Muster gtt dacks benotzt fir:

Domänn-Verifikatioun (Eegentum un en Service beweisen)
SSL-Zertifikatsvalidatioun (ACME DNS-01-Challenges)
E-Mail-Authentifizéierung (DKIM, SPF iwwer include)
CDN-Konfiguratioun

Wéi QuietLS CNAME-Delegatioun notzt

QuietLS notzt CNAME-Delegatioun fir ze verifizéieren, datt Dir Ären Domänn besëtzt. Wann Dir eng Domän derbäisetzt, bitt QuietLS Iech un, een eenzele CNAME-Ennträg ze erstellen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hei ass d'Bedeitung vun all Deel:

_pki-validation.example.com: Eng Subdomän ënner Ärer Domän. De Prefix _pki-validation ass eng Konventioun, déi signaliséiert: "Dësen Numm gëtt fir PKI-Validatioun (Public Key Infrastructure) benotzt." Hien huet keen Afloss op Är Websäit, Ären E-Mail oder aner Servicer.

<token>.verification.quietls.com: D'Zil, gehost op der QuietLS-Infrastruktur. Den Token ass en eenzegaartege Identifikateur, deen aus Ärem Kont an Ärem Domännnumm generéiert gëtt.

Wat geschitt wärend der Verifikatioun

Dir erstellt den CNAME-Ennträg bei Ärem DNS-Ubidder.
QuietLS freet ëffentlech DNS-Server (Google 8.8.8.8 a Cloudflare 1.1.1.1) no engem CNAME-Ennträg op _pki-validation.example.com.
Wann de opléiste Wäert mam erwaarten Token matstëmmt, gëtt d'Eegentum bestätegt.

Firwat CNAME-Delegatioun?

Eenmol-Astellung

Dir setzt den CNAME-Ennträg emol derbäi. Duerno ka QuietLS Är Domän zu all Zäit verifizéieren, ouni datt Dir Iech nees bei Ärem DNS-Ubidder alogge musst.

Keng lafend manuell Schrëtt

Am Géigesaz zu der dateibaséierter Verifikatioun (eng Datei op Äre Webserver eroplueden) oder der E-Mail-baséierter Verifikatioun hänkt DNS-CNAME-Delegatioun net dovunner of, datt Äre Server erreechbar ass oder eng spezifesch E-Mail-Adress existéiert.

Net opdrängeleg

D'Subdomän _pki-validation ass en dedizéierten Nummraum, deen Är Websäit, Ären E-Mail oder aner DNS-Ennträg net beaflosst. E ass onsiichtbar fir Är Benotzer.

Funtktionnéiert fir all Domän-Typpen

CNAME-Delegatioun funktnéiert op déi selwecht Manéier fir eenzel Domänen (example.com), Subdomänen (app.example.com) a Wildcard-Domänen (*.example.com).

Sécherheetsmodell

Eenzegaartege Token pro Benotzer a Domän

De Verifikatiounstoken gëtt ofgeleed vun enger Kombinatioun vun Ärem Benotzerkont-ID an dem Domännnumm:

token = sha256(userId + ":" + domain)[0..32]

Dëst bedeit:

All Benotzer kritt en aneren Token fir déi selwecht Domän.
All Domän kritt en aneren Token fir de selwechte Benotzer.
Den Token ass deterministesch — déi selwecht Domän nach emol derbäisetzen produzéiert de selwechten Token (keesen DNS-Update néideg).

Schutz géint Eegentumsännerungen

Well den Token un e spezifesche Benotzerkont gebonnen ass, gëtt bei der Iwwerdroung vun enger Domän un en neie Besëtzer déi al Verifikatioun ongëlteg. Wann een aneren déi selwecht Domän zu sengem QuietLS-Kont derbäisetzt, kritt hien en aneren Token a muss ee eegene CNAME-Ennträg erstellen. Den CNAME vum virege Besëtzer stëmmt net méi iwwereneen a seng Domän gëtt als net verifizéiert markéiert.

Ëffentlech DNS-Opléisung

QuietLS verifizéiert CNAME-Ennträg iwwer ëffentlech DNS-Resolver (Google a Cloudflare), net iwwer direkt Ufroe bei Äre Nameserver. Dëst stellt sécher, datt den Ennträg global propagéiert a siichtbar ass, wat mat deem matstëmmt, wat Zertifikatsautoritéite wärend der aktueller SSL-Validatioun géife gesinn.

Wat ass CNAME-Delegatioun?

En konzeptuellen Iwwerbléck iwwer CNAME-Delegatioun: wat et ass, wéi QuietLS et notzt a firwat et wichteg ass.

Wat ass en CNAME-Ennträg?

Beispill:

blog.example.com.   CNAME   example.github.io.

An dësem Beispill gitt all deem, deen blog.example.com ofsicht, transparent op example.github.io op DNS-Niveau weidergeleet.

Wat ass CNAME-Delegatioun?

CNAME-Delegatioun ass d'Praxis, eng spezifesch Subdomän iwwer en CNAME-Ennträg op en Drëtt-Partei-Service zeweisen an domat d'Kontroll iwwer deem Numm un de Service ze delegéieren.

D'Iddi: Dir erstellt den CNAME emol, an vun do un bestëmmt den Drëtt-Partei-Service, wou déi Subdomän hiweist — ouni datt Dir weider DNS-Ännerunge maache musst.

Dëse Muster gtt dacks benotzt fir:

Domänn-Verifikatioun (Eegentum un en Service beweisen)
SSL-Zertifikatsvalidatioun (ACME DNS-01-Challenges)
E-Mail-Authentifizéierung (DKIM, SPF iwwer include)
CDN-Konfiguratioun

Wéi QuietLS CNAME-Delegatioun notzt

QuietLS notzt CNAME-Delegatioun fir ze verifizéieren, datt Dir Ären Domänn besëtzt. Wann Dir eng Domän derbäisetzt, bitt QuietLS Iech un, een eenzele CNAME-Ennträg ze erstellen:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hei ass d'Bedeitung vun all Deel:

<token>.verification.quietls.com: D'Zil, gehost op der QuietLS-Infrastruktur. Den Token ass en eenzegaartege Identifikateur, deen aus Ärem Kont an Ärem Domännnumm generéiert gëtt.

Wat geschitt wärend der Verifikatioun

Dir erstellt den CNAME-Ennträg bei Ärem DNS-Ubidder.
QuietLS freet ëffentlech DNS-Server (Google 8.8.8.8 a Cloudflare 1.1.1.1) no engem CNAME-Ennträg op _pki-validation.example.com.
Wann de opléiste Wäert mam erwaarten Token matstëmmt, gëtt d'Eegentum bestätegt.

Firwat CNAME-Delegatioun?

Eenmol-Astellung

Dir setzt den CNAME-Ennträg emol derbäi. Duerno ka QuietLS Är Domän zu all Zäit verifizéieren, ouni datt Dir Iech nees bei Ärem DNS-Ubidder alogge musst.

Keng lafend manuell Schrëtt

Net opdrängeleg

D'Subdomän _pki-validation ass en dedizéierten Nummraum, deen Är Websäit, Ären E-Mail oder aner DNS-Ennträg net beaflosst. E ass onsiichtbar fir Är Benotzer.

Funtktionnéiert fir all Domän-Typpen

CNAME-Delegatioun funktnéiert op déi selwecht Manéier fir eenzel Domänen (example.com), Subdomänen (app.example.com) a Wildcard-Domänen (*.example.com).

Sécherheetsmodell

Eenzegaartege Token pro Benotzer a Domän

De Verifikatiounstoken gëtt ofgeleed vun enger Kombinatioun vun Ärem Benotzerkont-ID an dem Domännnumm:

token = sha256(userId + ":" + domain)[0..32]

Dëst bedeit:

All Benotzer kritt en aneren Token fir déi selwecht Domän.
All Domän kritt en aneren Token fir de selwechte Benotzer.
Den Token ass deterministesch — déi selwecht Domän nach emol derbäisetzen produzéiert de selwechten Token (keesen DNS-Update néideg).