Wat is CNAME-delegatie?

Een conceptueel overzicht van CNAME-delegatie: wat het is, hoe QuietLS het gebruikt en waarom het belangrijk is.

Wat is een CNAME-record?

Een CNAME-record (Canonical Name) is een type DNS-record dat de ene domeinnaam naar een andere verwijst. Wanneer een DNS-resolver een CNAME tegenkomt, volgt deze de alias en lost in plaats daarvan de doelnaam op.

Voorbeeld:

blog.example.com.   CNAME   example.github.io.

In dit voorbeeld wordt iedereen die blog.example.com opvraagt, transparant doorgestuurd naar example.github.io op DNS-niveau.

Wat is CNAME-delegatie?

CNAME-delegatie is de praktijk waarbij een specifiek subdomein via een CNAME-record naar een externe dienst verwijst, waardoor de controle over die naam effectief aan de dienst wordt gedelegeerd.

Het kernidee: u maakt de CNAME eenmalig aan, en vanaf dat moment bepaalt de externe dienst waarnaar het subdomein verwijst — zonder dat u verdere DNS-wijzigingen hoeft door te voeren.

Dit patroon wordt veelvuldig gebruikt voor:

Domeinverificatie (eigendomsbewijs aan een dienst)
SSL-certificaatvalidatie (ACME DNS-01-challenges)
E-mailauthenticatie (DKIM, SPF via include)
CDN-configuratie

Hoe QuietLS CNAME-delegatie gebruikt

QuietLS gebruikt CNAME-delegatie om te verifiëren dat u de eigenaar van uw domein bent. Wanneer u een domein toevoegt, verzoekt QuietLS u een enkel CNAME-record aan te maken:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hieronder de betekenis van elk onderdeel:

_pki-validation.example.com: Een subdomein onder uw domein. Het voorvoegsel _pki-validation is een conventie die aangeeft: "deze naam wordt gebruikt voor PKI-validatie (Public Key Infrastructure)." Dit heeft geen invloed op uw website, e-mail of andere diensten.

<token>.verification.quietls.com: Het doel, gehost op de QuietLS-infrastructuur. Het token is een unieke identificatiecode die wordt gegenereerd op basis van uw account en domeinnaam.

Wat gebeurt er tijdens de verificatie

U maakt het CNAME-record aan bij uw DNS-provider.
QuietLS bevraagt openbare DNS-servers (Google 8.8.8.8 en Cloudflare 1.1.1.1) naar een CNAME-record op _pki-validation.example.com.
Als de opgeloste waarde overeenkomt met het verwachte token, wordt het eigendom bevestigd.

Waarom CNAME-delegatie?

Eenmalige installatie

U voegt het CNAME-record eenmalig toe. Daarna kan QuietLS uw domein op elk moment verifiëren, zonder dat u opnieuw hoeft in te loggen bij uw DNS-provider.

Geen doorlopende handmatige stappen

In tegenstelling tot bestandsgebaseerde verificatie (een bestand uploaden naar uw webserver) of e-mailgebaseerde verificatie, is DNS CNAME-delegatie niet afhankelijk van de bereikbaarheid van uw server of het bestaan van een specifiek e-mailadres.

Niet-intrusief

Het subdomein _pki-validation is een toegewezen naamruimte die niet interfereert met uw website, e-mail of andere DNS-records. Het is onzichtbaar voor uw gebruikers.

Werkt voor alle domeintypen

CNAME-delegatie werkt op dezelfde wijze voor enkele domeinen (example.com), subdomeinen (app.example.com) en wildcard-domeinen (*.example.com).

Beveiligingsmodel

Uniek token per gebruiker en domein

Het verificatietoken wordt afgeleid uit een combinatie van uw gebruikersaccount-ID en de domeinnaam:

token = sha256(userId + ":" + domain)[0..32]

Dit betekent:

Elke gebruiker ontvangt een ander token voor hetzelfde domein.
Elk domein ontvangt een ander token voor dezelfde gebruiker.
Het token is deterministisch — het opnieuw toevoegen van hetzelfde domein levert hetzelfde token op (geen DNS-update vereist).

Bescherming bij eigendomsoverdracht

Omdat het token is gekoppeld aan een specifiek gebruikersaccount, wordt bij overdracht van een domein aan een nieuwe eigenaar de eerdere verificatie ongeldig. Als iemand anders hetzelfde domein toevoegt aan zijn QuietLS-account, ontvangt deze een ander token en dient hij een eigen CNAME-record aan te maken. Het CNAME van de vorige eigenaar komt niet langer overeen en het domein wordt als ongeverifieerd gemarkeerd.

Openbare DNS-resolutie

QuietLS verifieert CNAME-records via openbare DNS-resolvers (Google en Cloudflare), niet via directe query's naar uw naamservers. Dit waarborgt dat het record wereldwijd is doorgevoerd en zichtbaar is, wat overeenkomt met wat certificaatautoriteiten zouden waarnemen tijdens daadwerkelijke SSL-validatie.

Wat is CNAME-delegatie?

Een conceptueel overzicht van CNAME-delegatie: wat het is, hoe QuietLS het gebruikt en waarom het belangrijk is.

Wat is een CNAME-record?

Voorbeeld:

blog.example.com.   CNAME   example.github.io.

In dit voorbeeld wordt iedereen die blog.example.com opvraagt, transparant doorgestuurd naar example.github.io op DNS-niveau.

Wat is CNAME-delegatie?

CNAME-delegatie is de praktijk waarbij een specifiek subdomein via een CNAME-record naar een externe dienst verwijst, waardoor de controle over die naam effectief aan de dienst wordt gedelegeerd.

Het kernidee: u maakt de CNAME eenmalig aan, en vanaf dat moment bepaalt de externe dienst waarnaar het subdomein verwijst — zonder dat u verdere DNS-wijzigingen hoeft door te voeren.

Dit patroon wordt veelvuldig gebruikt voor:

Domeinverificatie (eigendomsbewijs aan een dienst)
SSL-certificaatvalidatie (ACME DNS-01-challenges)
E-mailauthenticatie (DKIM, SPF via include)
CDN-configuratie

Hoe QuietLS CNAME-delegatie gebruikt

QuietLS gebruikt CNAME-delegatie om te verifiëren dat u de eigenaar van uw domein bent. Wanneer u een domein toevoegt, verzoekt QuietLS u een enkel CNAME-record aan te maken:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Hieronder de betekenis van elk onderdeel:

<token>.verification.quietls.com: Het doel, gehost op de QuietLS-infrastructuur. Het token is een unieke identificatiecode die wordt gegenereerd op basis van uw account en domeinnaam.

Wat gebeurt er tijdens de verificatie

U maakt het CNAME-record aan bij uw DNS-provider.
QuietLS bevraagt openbare DNS-servers (Google 8.8.8.8 en Cloudflare 1.1.1.1) naar een CNAME-record op _pki-validation.example.com.
Als de opgeloste waarde overeenkomt met het verwachte token, wordt het eigendom bevestigd.

Waarom CNAME-delegatie?

Eenmalige installatie

U voegt het CNAME-record eenmalig toe. Daarna kan QuietLS uw domein op elk moment verifiëren, zonder dat u opnieuw hoeft in te loggen bij uw DNS-provider.

Geen doorlopende handmatige stappen

Niet-intrusief

Het subdomein _pki-validation is een toegewezen naamruimte die niet interfereert met uw website, e-mail of andere DNS-records. Het is onzichtbaar voor uw gebruikers.

Werkt voor alle domeintypen

CNAME-delegatie werkt op dezelfde wijze voor enkele domeinen (example.com), subdomeinen (app.example.com) en wildcard-domeinen (*.example.com).

Beveiligingsmodel

Uniek token per gebruiker en domein

Het verificatietoken wordt afgeleid uit een combinatie van uw gebruikersaccount-ID en de domeinnaam:

token = sha256(userId + ":" + domain)[0..32]

Dit betekent:

Elke gebruiker ontvangt een ander token voor hetzelfde domein.
Elk domein ontvangt een ander token voor dezelfde gebruiker.
Het token is deterministisch — het opnieuw toevoegen van hetzelfde domein levert hetzelfde token op (geen DNS-update vereist).