Що таке делегування CNAME?
Концептуальний огляд делегування CNAME: що це таке, як QuietLS його використовує і чому це важливо.
Що таке CNAME-запис?
CNAME (Canonical Name) запис — це тип DNS-запису, який прив'язує одне доменне ім'я до іншого. Коли DNS-резолвер стикається з CNAME-записом, він переходить за псевдонімом і вирішує цільове ім'я.
Приклад:
blog.example.com. CNAME example.github.io.
У цьому прикладі кожен, хто шукає blog.example.com, прозоро перенаправляється на example.github.io на рівні DNS.
Що таке делегування CNAME?
Делегування CNAME — це практика спрямування конкретного піддомену на сторонній сервіс через CNAME-запис, фактично делегуючи контроль над цим іменем сервісу.
Ключова ідея: ви створюєте CNAME один раз, і з цього моменту сторонній сервіс контролює, на що вирішується цей піддомен — без потреби у подальших змінах DNS.
Цей шаблон широко використовується для:
- Підтвердження домену (доведення власності сервісу)
- Валідації SSL-сертифікатів (ACME DNS-01 виклики)
- Автентифікації електронної пошти (DKIM, SPF через include)
- Налаштування CDN
Як QuietLS використовує делегування CNAME
QuietLS використовує делегування CNAME, щоб підтвердити, що домен належить вам. Коли ви додаєте домен, QuietLS просить вас створити один CNAME-запис:
_pki-validation.example.com. CNAME <token>.verification.quietls.com.
Ось що означає кожна частина:
_pki-validation.example.com:
Піддомен у вашому домені. Префікс _pki-validation — це домовленість, яка означає "це ім'я використовується для PKI (Public Key Infrastructure) валідації." Він не впливає на ваш веб-сайт, електронну пошту чи інші сервіси.
<token>.verification.quietls.com:
Ціль, розміщена на інфраструктурі QuietLS. Токен — це унікальний ідентифікатор, згенерований з вашого облікового запису та імені домену.
Що відбувається під час підтвердження
- Ви створюєте CNAME-запис у вашого DNS-провайдера.
- QuietLS опитує публічні DNS-сервери (Google
8.8.8.8та Cloudflare1.1.1.1) щодо CNAME-запису за адресою_pki-validation.example.com. - Якщо вирішене значення відповідає очікуваному токену, власність підтверджується.
Чому делегування CNAME?
Одноразове налаштування
Ви додаєте CNAME-запис один раз. Після цього QuietLS може підтвердити ваш домен у будь-який час без необхідності повторного входу до вашого DNS-провайдера.
Без постійних ручних кроків
На відміну від підтвердження на основі файлу (завантаження файлу на веб-сервер) або підтвердження через електронну пошту, делегування DNS CNAME не залежить від доступності вашого сервера чи наявності конкретної електронної адреси.
Ненав'язливий
Піддомен _pki-validation — це виділений простір імен, який не заважає вашому веб-сайту, електронній пошті чи іншим DNS-записам. Він невидимий для ваших користувачів.
Працює для всіх типів доменів
Делегування CNAME працює однаково для окремих доменів (example.com), піддоменів (app.example.com) та wildcard-доменів (*.example.com).
Модель безпеки
Унікальний токен для кожного користувача та домену
Підтвердний токен генерується з комбінації ID вашого облікового запису та імені домену:
token = sha256(userId + ":" + domain)[0..32]
Це означає:
- Кожен користувач отримує різний токен для одного й того ж домену.
- Кожен домен отримує різний токен для одного й того ж користувача.
- Токен є детермінованим — повторне додавання того ж домену створює той самий токен (DNS оновлювати не потрібно).
Захист від змін власності
Оскільки токен прив'язаний до конкретного облікового запису користувача, передача домену новому власнику анулює попереднє підтвердження. Якщо хтось інший додає той самий домен до свого облікового запису QuietLS, він отримує інший токен і повинен створити власний CNAME-запис. CNAME-запис попереднього власника більше не збігається, і його домен стає непідтвердженим.
Публічне DNS-вирішення
QuietLS підтверджує CNAME-записи через публічні DNS-резолвери (Google та Cloudflare), а не через прямі запити до ваших серверів імен. Це гарантує, що запис глобально розповсюджений і видимий, відповідаючи тому, що сертифікаційні органи побачили б під час фактичної SSL-валідації.