Kas ir CNAME deleģēšana?
Konceptuāls pārskats par CNAME deleģēšanu: kas tā ir, kā QuietLS to izmanto un kāpēc tā ir nozīmīga.
Kas ir CNAME ieraksts?
CNAME (Canonical Name) ieraksts ir DNS ieraksta tips, kas kartē vienu domēna vārdu uz citu. Kad DNS atrisinātājs sastop CNAME ierakstu, tas seko pseidonīmam un atrisina mērķa vārdu.
Piemērs:
blog.example.com. CNAME example.github.io.
Šajā piemērā ikviens, kurš meklē blog.example.com, tiek caurspīdīgi novirzīts uz example.github.io DNS līmenī.
Kas ir CNAME deleģēšana?
CNAME deleģēšana ir prakse, kad konkrēts apakšdomēns tiek norādīts uz trešās puses pakalpojumu, izmantojot CNAME ierakstu, faktiski deleģējot šī vārda kontroli pakalpojumam.
Galvenā ideja: jūs izveidojat CNAME vienreiz, un no tā brīža trešās puses pakalpojums kontrolē, uz ko šis apakšdomēns atrisinās — bez nepieciešamības veikt turpmākas DNS izmaiņas.
Šī shēma tiek plaši izmantota:
- Domēna apstiprināšanai (īpašuma pierādīšana pakalpojumam)
- SSL sertifikātu validācijai (ACME DNS-01 izaicinājumi)
- E-pasta autentifikācijai (DKIM, SPF caur include)
- CDN konfigurēšanai
Kā QuietLS izmanto CNAME deleģēšanu
QuietLS izmanto CNAME deleģēšanu, lai apstiprinātu, ka domēns pieder jums. Kad pievienojat domēnu, QuietLS lūdz jums izveidot vienu CNAME ierakstu:
_pki-validation.example.com. CNAME <token>.verification.quietls.com.
Šeit ir katra daļas nozīme:
_pki-validation.example.com:
Apakšdomēns jūsu domēnā. Priedēklis _pki-validation ir konvencija, kas norāda "šis vārds tiek izmantots PKI (Public Key Infrastructure) validācijai." Tas neietekmē jūsu tīmekļa vietni, e-pastu vai citas pakalpojumus.
<token>.verification.quietls.com:
Mērķis, kas atrodas QuietLS infrastruktūrā. Marķieris ir unikāls identifikators, kas ģenerēts no jūsu konta un domēna vārda.
Kas notiek apstiprināšanas laikā
- Jūs izveidojat CNAME ierakstu savā DNS pakalpojumu sniedzējā.
- QuietLS vaicā publiskajos DNS serveros (Google
8.8.8.8un Cloudflare1.1.1.1) CNAME ierakstu adresē_pki-validation.example.com. - Ja atrisinātā vērtība atbilst gaidīmajam marķierim, īpašums tiek apstiprināts.
Kāpēc CNAME deleģēšana?
Vienreizēja iestatīšana
Jūs pievienojat CNAME ierakstu vienreiz. Pēc tam QuietLS var jebkurā laikā apstiprināt jūsu domēnu, neprasot jums atkārtoti pieslēgties savam DNS pakalpojumu sniedzējam.
Bez pastāvīgām manuālām darbībām
Atšķirībā no failu bāzes apstiprināšanas (faila augšupielāde tīmekļa serverī) vai e-pasta bāzes apstiprināšanas, DNS CNAME deleģēšana nav atkarīga no jūsu servera sasniedzamības vai konkrēta e-pasta adreses esamības.
Neuzkrītoša
Apakšdomēns _pki-validation ir atvēlēta vārdtelpa, kas neietekmē jūsu tīmekļa vietni, e-pastu vai citus DNS ierakstus. Tā ir neredzama jūsu lietotājiem.
Darbojas ar visiem domēnu tipiem
CNAME deleģēšana darbojas vienādi atsevišķiem domēniem (example.com), apakšdomēniem (app.example.com) un aizstājējzīmes domēniem (*.example.com).
Drošības modelis
Unikāls marķieris katram lietotājam un domēnam
Apstiprināšanas marķieris tiek atvasināts no jūsu lietotāja konta ID un domēna vārda kombinācijas:
token = sha256(userId + ":" + domain)[0..32]
Tas nozīmē:
- Katrs lietotājs saņem atšķirīgu marķieri tam pašam domēnam.
- Katrs domēns saņem atšķirīgu marķieri tam pašam lietotājam.
- Marķieris ir deterministisks — tā paša domēna atkārtota pievienošana rada to pašu marķieri (DNS nav jāatjaunina).
Aizsardzība pret īpašuma izmaiņām
Tā kā marķieris ir saistīts ar konkrētu lietotāja kontu, domēna nodošana jaunam īpašniekam anulē iepriekšējo apstiprināšanu. Ja cits lietotājs pievieno to pašu domēnu savā QuietLS kontā, viņš saņem citu marķieri un jāizveido savs CNAME ieraksts. Iepriekšējā īpašnieka CNAME vairs neatbilst, un viņa domēns kļūst neapstiprināts.
Publiska DNS atrisināšana
QuietLS apstiprina CNAME ierakstus, izmantojot publiskos DNS atrisinātājus (Google un Cloudflare), nevis tieši vaicājot jūsu vārdu serverus. Tas nodrošina, ka ieraksts ir globāli izplatīts un redzams, atbilstoši tam, ko sertifikātu autoritātes redzētu reālās SSL validācijas laikā.