Kas yra CNAME delegavimas?
Konceptuali CNAME delegavimo apžvalga: kas tai yra, kaip QuietLS jį naudoja ir kodėl tai svarbu.
Kas yra CNAME įrašas?
CNAME (Canonical Name) įrašas yra DNS įrašo tipas, kuris susieja vieną domeno vardą su kitu. Kai DNS rezoliutorius aptinka CNAME įrašą, jis seka pseudonimu ir rezolvuoja tikslinį vardą.
Pavyzdys:
blog.example.com. CNAME example.github.io.
Šiame pavyzdyje visi, kurie ieško blog.example.com, skaidriai peradresuojami į example.github.io DNS lygmeniu.
Kas yra CNAME delegavimas?
CNAME delegavimas — tai praktika, kai konkretus subdomenas nukreipiamas į trečiosios šalies paslaugą per CNAME įrašą, efektyviai perduodant to vardo kontrolę paslaugai.
Pagrindinė idėja: sukuriate CNAME vieną kartą, ir nuo to momento trečiosios šalies paslauga kontroliuoja, į ką rezolvuojamas šis subdomenas — be jūsų reikiamo atlikti tolimesnius DNS pakeitimus.
Šis modelys plačiai naudojamas:
- Domeno patvirtinimui (nuosavybės įrodymas paslaugai)
- SSL sertifikato validacijai (ACME DNS-01 iššūkiai)
- El. pašto autentifikavimui (DKIM, SPF per include)
- CDN konfigūravimui
Kaip QuietLS naudoja CNAME delegavimą
QuietLS naudoja CNAME delegavimą, kad patvirtintų, jog domenas priklauso jums. Pridėjus domeną, QuietLS paprašo sukurti vieną CNAME įrašą:
_pki-validation.example.com. CNAME <token>.verification.quietls.com.
Štai ką reiškia kiekviena dalis:
_pki-validation.example.com:
Subdomenas jūsų domeno viduje. Priešdėlis _pki-validation yra konvencija, reiškianti „šis vardas naudojamas PKI (Public Key Infrastructure) validacijai." Jis neturi įtakos jūsų svetainei, el. paštui ar kitoms paslaugoms.
<token>.verification.quietls.com:
Tikslas, esantis QuietLS infrastruktūroje. Raktas yra unikalus identifikatorius, sugeneruotas iš jūsų paskyros ir domeno vardo.
Kas vyksta patvirtinimo metu
- Sukuriate CNAME įrašą pas savo DNS teikėją.
- QuietLS užklausa viešųjų DNS serverių (Google
8.8.8.8ir Cloudflare1.1.1.1) CNAME įrašo adresu_pki-validation.example.com. - Jei rezolvuota reikšmė atitinka numatomą raktą, nuosavybė patvirtinama.
Kodėl CNAME delegavimas?
Vienkartinė sąranka
CNAME įrašą pridedate vieną kartą. Po to QuietLS gali bet kada patvirtinti jūsų domeną be poreikio iš naujo prisijungti prie DNS teikėjo.
Nėra nuolatinių rankinių veiksmų
Skirtingai nei failais grindžiamas patvirtinimas (failo įkėlimas į žiniatinklio serverį) ar el. paštu grindžiamas patvirtinimas, DNS CNAME delegavimas nepriklauso nuo jūsų serverio pasiekiamumo ar konkretaus el. pašto adreso egzistavimo.
| Nepriekaištingas
Subdomenas _pki-validation yra skirta vardų erdvė, kuri netrukdo jūsų svetainei, el. paštui ar kitiems DNS įrašams. Jis nematomas jūsų vartotojams.
Veikia su visų tipų domenais
CNAME delegavimas veikia vienodai su atskirais domenais (example.com), subdomenais (app.example.com) ir pakaitos simbolio domenais (*.example.com).
Saugumo modelis
Unikalus raktas kiekvienam vartotojui ir domenui
Patvirtinimo raktas išvedamas iš jūsų vartotojo paskyros ID ir domeno vardo kombinacijos:
token = sha256(userId + ":" + domain)[0..32]
Tai reiškia:
- Kiekvienas vartotojas gauna skirtingą raktą tam pačiam domenui.
- Kiekvienas domenas gauna skirtingą raktą tam pačiam vartotojui.
- Raktas yra deterministinis — to paties domeno pakartotinas pridėjimas sukuria tą patį raktą (nereikia atnaujinti DNS).
Apsauga nuo nuosavybės pasikeitimų
Kadangi raktas susietas su konkrečia vartotojo paskyra, domeno perdavimas naujam savininkui panaikina ankstesnį patvirtinimą. Jei kas nors kitas prideda tą patį domeną į savo QuietLS paskyrą, jis gauna kitą raktą ir turi sukurti savo CNAME įrašą. Ankstesnio savininko CNAME nebeatitinka, o jo domenas tampa nepatvirtintu.
Vieša DNS rezoliucija
QuietLS patvirtina CNAME įrašus per viešus DNS rezoliutorius (Google ir Cloudflare), o ne tiesioginėmis užklausomis į jūsų vardų serverius. Tai užtikrina, kad įrašas yra globaliai propaguotas ir matomas, atitinkamai tam, ką sertifikatų autoritetai matytų tikros SSL validacijos metu.