Wat is CNAME-delegatie?

Een conceptueel overzicht van CNAME-delegatie: wat het is, hoe QuietLS het gebruikt en waarom het belangrijk is.

Wat is een CNAME-record?

Een CNAME-record (Canonical Name) is een type DNS-record dat de ene domeinnaam naar een andere verwijst. Wanneer een DNS-resolver een CNAME tegenkomt, volgt het de alias en lost in plaats daarvan de doelnaam op.

Voorbeeld:

blog.example.com.   CNAME   example.github.io.

In dit voorbeeld wordt iedereen die blog.example.com opvraagt, transparant doorgestuurd naar example.github.io op DNS-niveau.

Wat is CNAME-delegatie?

CNAME-delegatie is de praktijk waarbij een specifiek subdomein via een CNAME-record naar een externe dienst verwijst, waardoor de controle over die naam effectief aan de dienst wordt gedelegeerd.

Het kernidee: u maakt de CNAME eenmalig aan, en vanaf dat moment bepaalt de externe dienst waarnaar het subdomein verwijst — zonder dat u verdere DNS-wijzigingen hoeft door te voeren.

Dit patroon wordt veel gebruikt voor:

Domeinverificatie (eigendomsbewijs aan een dienst)
SSL-certificaatvalidatie (ACME DNS-01-challenges)
E-mailauthenticatie (DKIM, SPF via include)
CDN-configuratie

Hoe QuietLS CNAME-delegatie gebruikt

QuietLS gebruikt CNAME-delegatie om te verifiëren dat u de eigenaar van uw domein bent. Wanneer u een domein toevoegt, vraagt QuietLS u om een enkel CNAME-record aan te maken:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hier is de betekenis van elk onderdeel:

_pki-validation.example.com: Een subdomein onder uw domein. Het voorvoegsel _pki-validation is een conventie die aangeeft: "deze naam wordt gebruikt voor PKI-validatie (Public Key Infrastructure)." Het heeft geen invloed op uw website, e-mail of andere diensten.

<token>.verification.quietls.com: Het doel, gehost op de QuietLS-infrastructuur. Het token is een unieke identificatie die wordt gegenereerd op basis van uw account en domeinnaam.

Wat gebeurt er tijdens de verificatie

U maakt het CNAME-record aan bij uw DNS-provider.
QuietLS bevraagt openbare DNS-servers (Google 8.8.8.8 en Cloudflare 1.1.1.1) naar een CNAME-record op _pki-validation.example.com.
Als de opgeloste waarde overeenkomt met het verwachte token, wordt het eigendom bevestigd.

Waarom CNAME-delegatie?

Eenmalige installatie

U voegt het CNAME-record eenmaal toe. Daarna kan QuietLS uw domein op elk moment verifiëren zonder dat u opnieuw hoeft in te loggen bij uw DNS-provider.

Geen doorlopende handmatige stappen

In tegenstelling tot bestandsgebaseerde verificatie (een bestand uploaden naar uw webserver) of e-mailgebaseerde verificatie, is DNS CNAME-delegatie niet afhankelijk van de bereikbaarheid van uw server of het bestaan van een specifiek e-mailadres.

Niet-intrusief

Het subdomein _pki-validation is een toegewijde naamruimte die niet interfereert met uw website, e-mail of andere DNS-records. Het is onzichtbaar voor uw gebruikers.

Werkt voor alle domeintypes

CNAME-delegatie werkt op dezelfde manier voor enkele domeinen (example.com), subdomeinen (app.example.com) en wildcard-domeinen (*.example.com).

Beveiligingsmodel

Uniek token per gebruiker en domein

Het verificatietoken wordt afgeleid uit een combinatie van uw gebruikersaccount-ID en de domeinnaam:

token = sha256(userId + ":" + domain)[0..32]

Dit betekent:

Elke gebruiker krijgt een ander token voor hetzelfde domein.
Elk domein krijgt een ander token voor dezelfde gebruiker.
Het token is deterministisch — het opnieuw toevoegen van hetzelfde domein produceert hetzelfde token (geen DNS-update nodig).

Bescherming bij eigendomswijzigingen

Omdat het token is gekoppeld aan een specifiek gebruikersaccount, wordt bij de overdracht van een domein aan een nieuwe eigenaar de oude verificatie ongeldig. Als iemand anders hetzelfde domein toevoegt aan zijn QuietLS-account, ontvangt hij een ander token en moet hij zijn eigen CNAME-record aanmaken. Het CNAME van de vorige eigenaar komt niet meer overeen en zijn domein wordt ongeverifieerd.

Openbare DNS-resolutie

QuietLS verifieert CNAME-records via openbare DNS-resolvers (Google en Cloudflare), niet via directe query's naar uw naamservers. Dit zorgt ervoor dat het record wereldwijd is doorgevoerd en zichtbaar is, wat overeenkomt met wat certificaatautoriteiten zouden zien tijdens daadwerkelijke SSL-validatie.

Wat is CNAME-delegatie?

Een conceptueel overzicht van CNAME-delegatie: wat het is, hoe QuietLS het gebruikt en waarom het belangrijk is.

Wat is een CNAME-record?

Voorbeeld:

blog.example.com.   CNAME   example.github.io.

In dit voorbeeld wordt iedereen die blog.example.com opvraagt, transparant doorgestuurd naar example.github.io op DNS-niveau.

Wat is CNAME-delegatie?

CNAME-delegatie is de praktijk waarbij een specifiek subdomein via een CNAME-record naar een externe dienst verwijst, waardoor de controle over die naam effectief aan de dienst wordt gedelegeerd.

Het kernidee: u maakt de CNAME eenmalig aan, en vanaf dat moment bepaalt de externe dienst waarnaar het subdomein verwijst — zonder dat u verdere DNS-wijzigingen hoeft door te voeren.

Dit patroon wordt veel gebruikt voor:

Domeinverificatie (eigendomsbewijs aan een dienst)
SSL-certificaatvalidatie (ACME DNS-01-challenges)
E-mailauthenticatie (DKIM, SPF via include)
CDN-configuratie

Hoe QuietLS CNAME-delegatie gebruikt

QuietLS gebruikt CNAME-delegatie om te verifiëren dat u de eigenaar van uw domein bent. Wanneer u een domein toevoegt, vraagt QuietLS u om een enkel CNAME-record aan te maken:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hier is de betekenis van elk onderdeel:

<token>.verification.quietls.com: Het doel, gehost op de QuietLS-infrastructuur. Het token is een unieke identificatie die wordt gegenereerd op basis van uw account en domeinnaam.

Wat gebeurt er tijdens de verificatie

U maakt het CNAME-record aan bij uw DNS-provider.
QuietLS bevraagt openbare DNS-servers (Google 8.8.8.8 en Cloudflare 1.1.1.1) naar een CNAME-record op _pki-validation.example.com.
Als de opgeloste waarde overeenkomt met het verwachte token, wordt het eigendom bevestigd.

Waarom CNAME-delegatie?

Eenmalige installatie

U voegt het CNAME-record eenmaal toe. Daarna kan QuietLS uw domein op elk moment verifiëren zonder dat u opnieuw hoeft in te loggen bij uw DNS-provider.

Geen doorlopende handmatige stappen

Niet-intrusief

Het subdomein _pki-validation is een toegewijde naamruimte die niet interfereert met uw website, e-mail of andere DNS-records. Het is onzichtbaar voor uw gebruikers.

Werkt voor alle domeintypes

CNAME-delegatie werkt op dezelfde manier voor enkele domeinen (example.com), subdomeinen (app.example.com) en wildcard-domeinen (*.example.com).

Beveiligingsmodel

Uniek token per gebruiker en domein

Het verificatietoken wordt afgeleid uit een combinatie van uw gebruikersaccount-ID en de domeinnaam:

token = sha256(userId + ":" + domain)[0..32]

Dit betekent:

Elke gebruiker krijgt een ander token voor hetzelfde domein.
Elk domein krijgt een ander token voor dezelfde gebruiker.
Het token is deterministisch — het opnieuw toevoegen van hetzelfde domein produceert hetzelfde token (geen DNS-update nodig).