Vad är CNAME-delegering?

En konceptuell översikt av CNAME-delegering: vad det är, hur QuietLS använder det och varför det är viktigt.

Vad är en CNAME-post?

En CNAME-post (Canonical Name) är en typ av DNS-post som mappar ett domännamn till ett annat. När en DNS-resolver stöter på en CNAME följer den aliaset och löser målnamnet istället.

Exempel:

blog.example.com.   CNAME   example.github.io.

I detta exempel omdirigeras alla som slår upp blog.example.com transparent till example.github.io på DNS-nivå.

Vad är CNAME-delegering?

CNAME-delegering är metoden att peka ett specifikt underdomän mot en tredjepartstjänst via en CNAME-post, vilket i praktiken delegerar kontrollen över det namnet till tjänsten.

Kärnidén: du skapar CNAME-posten en gång, och från den punkten bestämmer tredjepartstjänsten vad underdomänen pekar på — utan att du behöver göra ytterligare DNS-ändringar.

Detta mönster används i stor utsträckning för:

Domänverifiering (bevisa ägandeskap för en tjänst)
SSL-certifikatvalidering (ACME DNS-01-utmaningar)
E-postautentisering (DKIM, SPF via include)
CDN-konfiguration

Hur QuietLS använder CNAME-delegering

QuietLS använder CNAME-delegering för att verifiera att du äger din domän. När du lägger till en domän ber QuietLS dig att skapa en enda CNAME-post:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Här är vad varje del betyder:

_pki-validation.example.com: En underdomän under din domän. Prefixet _pki-validation är en konvention som signalerar "detta namn används för PKI-validering (Public Key Infrastructure)." Det påverkar inte din webbplats, e-post eller andra tjänster.

<token>.verification.quietls.com: Målet, som är värdat på QuietLS-infrastruktur. Token är en unik identifierare som genereras från ditt konto och domännamn.

Vad händer under verifieringen

Du skapar CNAME-posten hos din DNS-leverantör.
QuietLS frågar offentliga DNS-servrar (Google 8.8.8.8 och Cloudflare 1.1.1.1) efter en CNAME-post på _pki-validation.example.com.
Om det upplösta värdet matchar den förväntade token bekräftas ägandeskapet.

Varför CNAME-delegering?

Engångsinställning

Du lägger till CNAME-posten en gång. Därefter kan QuietLS verifiera din domän när som helst utan att du behöver logga in hos din DNS-leverantör igen.

Inga löpande manuella steg

Till skillnad från filbaserad verifiering (att ladda upp en fil till din webbserver) eller e-postbaserad verifiering är DNS CNAME-delegering inte beroende av att din server är nåbar eller att en specifik e-postadress existerar.

Icke-påträngande

Underdomänen _pki-validation är ett dedikerat namnutrymme som inte stör din webbplats, e-post eller andra DNS-poster. Den är osynlig för dina användare.

Fungerar för alla domäntyper

CNAME-delegering fungerar på samma sätt för enskilda domäner (example.com), underdomäner (app.example.com) och wildcard-domäner (*.example.com).

Säkerhetsmodell

Unik token per användare och domän

Verifieringstoken härrör från en kombination av ditt användarkonto-ID och domännamnet:

token = sha256(userId + ":" + domain)[0..32]

Detta innebär:

Varje användare får en annan token för samma domän.
Varje domän får en annan token för samma användare.
Token är deterministisk — att lägga till samma domän igen ger samma token (ingen anledning att uppdatera DNS).

Skydd vid ägarbyten

Eftersom token är kopplad till ett specifikt användarkonto, blir vid överföring av en domän till en ny ägare den tidigare verifieringen ogiltig. Om någon annan lägger till samma domän till sitt QuietLS-konto får de en annan token och måste skapa sin egen CNAME-post. Den tidigare ägarens CNAME matchar inte längre och deras domän blir overifierad.

Offentlig DNS-upplösning

QuietLS verifierar CNAME-poster genom offentliga DNS-resolvers (Google och Cloudflare), inte genom direkta förfrågningar till dina namnservrar. Detta säkerställer att posten är globalt propagerad och synlig, vilket matchar vad certifikatutfärdare skulle se under faktisk SSL-validering.

Vad är CNAME-delegering?

En konceptuell översikt av CNAME-delegering: vad det är, hur QuietLS använder det och varför det är viktigt.

Vad är en CNAME-post?

En CNAME-post (Canonical Name) är en typ av DNS-post som mappar ett domännamn till ett annat. När en DNS-resolver stöter på en CNAME följer den aliaset och löser målnamnet istället.

Exempel:

blog.example.com.   CNAME   example.github.io.

I detta exempel omdirigeras alla som slår upp blog.example.com transparent till example.github.io på DNS-nivå.

Vad är CNAME-delegering?

CNAME-delegering är metoden att peka ett specifikt underdomän mot en tredjepartstjänst via en CNAME-post, vilket i praktiken delegerar kontrollen över det namnet till tjänsten.

Kärnidén: du skapar CNAME-posten en gång, och från den punkten bestämmer tredjepartstjänsten vad underdomänen pekar på — utan att du behöver göra ytterligare DNS-ändringar.

Detta mönster används i stor utsträckning för:

Domänverifiering (bevisa ägandeskap för en tjänst)
SSL-certifikatvalidering (ACME DNS-01-utmaningar)
E-postautentisering (DKIM, SPF via include)
CDN-konfiguration

Hur QuietLS använder CNAME-delegering

QuietLS använder CNAME-delegering för att verifiera att du äger din domän. När du lägger till en domän ber QuietLS dig att skapa en enda CNAME-post:

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Här är vad varje del betyder:

<token>.verification.quietls.com: Målet, som är värdat på QuietLS-infrastruktur. Token är en unik identifierare som genereras från ditt konto och domännamn.

Vad händer under verifieringen

Du skapar CNAME-posten hos din DNS-leverantör.
QuietLS frågar offentliga DNS-servrar (Google 8.8.8.8 och Cloudflare 1.1.1.1) efter en CNAME-post på _pki-validation.example.com.
Om det upplösta värdet matchar den förväntade token bekräftas ägandeskapet.

Varför CNAME-delegering?

Engångsinställning

Du lägger till CNAME-posten en gång. Därefter kan QuietLS verifiera din domän när som helst utan att du behöver logga in hos din DNS-leverantör igen.

Inga löpande manuella steg

Icke-påträngande

Underdomänen _pki-validation är ett dedikerat namnutrymme som inte stör din webbplats, e-post eller andra DNS-poster. Den är osynlig för dina användare.

Fungerar för alla domäntyper

CNAME-delegering fungerar på samma sätt för enskilda domäner (example.com), underdomäner (app.example.com) och wildcard-domäner (*.example.com).

Säkerhetsmodell

Unik token per användare och domän

Verifieringstoken härrör från en kombination av ditt användarkonto-ID och domännamnet:

token = sha256(userId + ":" + domain)[0..32]

Detta innebär:

Varje användare får en annan token för samma domän.
Varje domän får en annan token för samma användare.
Token är deterministisk — att lägga till samma domän igen ger samma token (ingen anledning att uppdatera DNS).