O que é a delegação CNAME?

Uma visão geral conceitual da delegação CNAME: o que é, como o QuietLS a utiliza e por que é importante.

O que é um registo CNAME?

Um registo CNAME (Canonical Name) é um tipo de registo DNS que mapeia um nome de domínio para outro. Quando um resolvedor DNS encontra um CNAME, segue o alias e resolve o nome de destino.

Exemplo:

blog.example.com.   CNAME   example.github.io.

Neste exemplo, qualquer pessoa que consulte blog.example.com será redirecionada de forma transparente para example.github.io ao nível do DNS.

O que é a delegação CNAME?

A delegação CNAME é a prática de apontar um subdomínio específico para um serviço de terceiros através de um registo CNAME, delegando efetivamente o controlo desse nome ao serviço.

A ideia principal: cria o CNAME uma única vez, e a partir desse momento o serviço de terceiros controla para onde esse subdomínio resolve — sem que seja necessário efetuar mais alterações no DNS.

Este padrão é amplamente utilizado para:

Verificação de domínios (comprovar propriedade perante um serviço)
Validação de certificados SSL (desafios ACME DNS-01)
Autenticação de e-mail (DKIM, SPF via include)
Configuração de CDN

Como o QuietLS utiliza a delegação CNAME

O QuietLS utiliza a delegação CNAME para verificar que é o proprietário do seu domínio. Quando adiciona um domínio, o QuietLS pede-lhe para criar um único registo CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Eis o que significa cada parte:

_pki-validation.example.com: Um subdomínio sob o seu domínio. O prefixo _pki-validation é uma convenção que sinaliza «este nome é utilizado para validação PKI (Public Key Infrastructure)». Não afeta o seu website, e-mail ou quaisquer outros serviços.

<token>.verification.quietls.com: O destino, alojado na infraestrutura do QuietLS. O token é um identificador único gerado a partir da sua conta e do nome de domínio.

O que acontece durante a verificação

Cria o registo CNAME no seu fornecedor de DNS.
O QuietLS consulta servidores DNS públicos (Google 8.8.8.8 e Cloudflare 1.1.1.1) para encontrar um registo CNAME em _pki-validation.example.com.
Se o valor resolvido corresponder ao token esperado, a propriedade é confirmada.

Porquê delegação CNAME?

Configuração única

Adiciona o registo CNAME uma vez. A partir daí, o QuietLS pode verificar o seu domínio a qualquer momento sem que precise de voltar a iniciar sessão no seu fornecedor de DNS.

Sem intervenção manual continuada

Ao contrário da verificação baseada em ficheiros (carregar um ficheiro para o seu servidor web) ou da verificação por e-mail, a delegação CNAME não depende de o seu servidor estar acessível nem de existir um endereço de e-mail específico.

Não intrusivo

O subdomínio _pki-validation é um espaço de nomes dedicado que não interfere com o seu website, e-mail ou quaisquer outros registos DNS. É invisível para os seus utilizadores.

Funciona para todos os tipos de domínio

A delegação CNAME funciona da mesma forma para domínios individuais (example.com), subdomínios (app.example.com) e domínios wildcard (*.example.com).

Modelo de segurança

Token único por utilizador e domínio

O token de verificação é derivado de uma combinação do ID da sua conta de utilizador e do nome de domínio:

token = sha256(userId + ":" + domain)[0..32]

Isto significa:

Cada utilizador recebe um token diferente para o mesmo domínio.
Cada domínio recebe um token diferente para o mesmo utilizador.
O token é determinístico — adicionar o mesmo domínio novamente produz o mesmo token (não é necessário atualizar o DNS).

Proteção contra alterações de propriedade

Como o token está vinculado a uma conta de utilizador específica, a transferência de um domínio para um novo proprietário invalida a verificação anterior. Se outra pessoa adicionar o mesmo domínio à sua conta do QuietLS, receberá um token diferente e terá de criar o seu próprio registo CNAME. O CNAME do proprietário anterior deixará de corresponder e o respetivo domínio passará a não verificado.

Resolução DNS pública

O QuietLS verifica os registos CNAME através de resolvedores DNS públicos (Google e Cloudflare), e não através de consultas diretas aos seus servidores de nomes. Isto garante que o registo está propagado globalmente e é visível, correspondendo ao que as autoridades de certificação veriam durante uma validação SSL real.

O que é a delegação CNAME?

Uma visão geral conceitual da delegação CNAME: o que é, como o QuietLS a utiliza e por que é importante.

O que é um registo CNAME?

Um registo CNAME (Canonical Name) é um tipo de registo DNS que mapeia um nome de domínio para outro. Quando um resolvedor DNS encontra um CNAME, segue o alias e resolve o nome de destino.

Exemplo:

blog.example.com.   CNAME   example.github.io.

Neste exemplo, qualquer pessoa que consulte blog.example.com será redirecionada de forma transparente para example.github.io ao nível do DNS.

O que é a delegação CNAME?

A delegação CNAME é a prática de apontar um subdomínio específico para um serviço de terceiros através de um registo CNAME, delegando efetivamente o controlo desse nome ao serviço.

Este padrão é amplamente utilizado para:

Verificação de domínios (comprovar propriedade perante um serviço)
Validação de certificados SSL (desafios ACME DNS-01)
Autenticação de e-mail (DKIM, SPF via include)
Configuração de CDN

Como o QuietLS utiliza a delegação CNAME

O QuietLS utiliza a delegação CNAME para verificar que é o proprietário do seu domínio. Quando adiciona um domínio, o QuietLS pede-lhe para criar um único registo CNAME:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Eis o que significa cada parte:

<token>.verification.quietls.com: O destino, alojado na infraestrutura do QuietLS. O token é um identificador único gerado a partir da sua conta e do nome de domínio.

O que acontece durante a verificação

Cria o registo CNAME no seu fornecedor de DNS.
O QuietLS consulta servidores DNS públicos (Google 8.8.8.8 e Cloudflare 1.1.1.1) para encontrar um registo CNAME em _pki-validation.example.com.
Se o valor resolvido corresponder ao token esperado, a propriedade é confirmada.

Porquê delegação CNAME?

Configuração única

Adiciona o registo CNAME uma vez. A partir daí, o QuietLS pode verificar o seu domínio a qualquer momento sem que precise de voltar a iniciar sessão no seu fornecedor de DNS.

Sem intervenção manual continuada

Não intrusivo

O subdomínio _pki-validation é um espaço de nomes dedicado que não interfere com o seu website, e-mail ou quaisquer outros registos DNS. É invisível para os seus utilizadores.

Funciona para todos os tipos de domínio

A delegação CNAME funciona da mesma forma para domínios individuais (example.com), subdomínios (app.example.com) e domínios wildcard (*.example.com).

Modelo de segurança

Token único por utilizador e domínio

O token de verificação é derivado de uma combinação do ID da sua conta de utilizador e do nome de domínio:

token = sha256(userId + ":" + domain)[0..32]

Isto significa:

Cada utilizador recebe um token diferente para o mesmo domínio.
Cada domínio recebe um token diferente para o mesmo utilizador.
O token é determinístico — adicionar o mesmo domínio novamente produz o mesmo token (não é necessário atualizar o DNS).