É um registro mais seguro que o registro CNAME

6

Eu tenho um cliente que usa nosso aplicativo da web de etiqueta branca. Sua url é portal.client.com. Quando pedi a eles que apontassem o URL para o CNAME app.company.com, eles disseram que tem que ser um registro A.

Argumentei que o CNAME seria ideal porque, se algum dia precisarmos alterar o endereço IP, podemos fazê-lo em um único lugar, em vez de entrar em contato com cada um de nossos clientes para atualizar seu registro DNS, economizando tempo e complicações para ambos partes.

E aqui está a resposta que recebi deles:

The fact that the CNAME is a URL redirect the best approach is to set an A record to the Hosting provider webserver. This provides a more secure approach as we can't guarantee that the CNAME will continue to masquerade the third party URL as far as end users are concerned on the browser level.

Agora, nada disso faz sentido para mim. Em primeiro lugar, o CNAME não é um redirecionamento de URL ... Alguém pode esclarecer como ou em que situação um registro A seria uma abordagem melhor ou mais segura do que o CNAME e se isso for aplicável neste caso.

Obrigado,

    
por Adrian Gunawan 13.01.2017 / 02:12

4 respostas

3

Não consigo pensar em uma situação em que o CNAME seja menos seguro.

Pode-se argumentar que, como o alias se estende por uma zona ( client.com - > company.com ), não é seguro, pois o endpoint não está no controle administrativo de client.com . No entanto, o cliente supostamente confia em você o suficiente para usar seu aplicativo, então por que não confiar que você não estraga o registro app.company.com .

De um ponto de vista sysadmin eu prefiro ter um CNAME como você sugeriu, mas você pode apenas sugá-lo e manter seu cliente feliz:).

    
por 18.01.2017 / 14:26
2

Não, um registro CNAME não é menos seguro que um registro A.

Na verdade, esse tipo de situação é exatamente o motivo pelo qual os CNAMEs existem.

De RFC 1034 Seção 3.6.2. Apelidos e nomes canônicos :

hosts and other resources often have several names that identify the same resource. For example, the names C.ISI.EDU and USC-ISIC.ARPA both identify the same host.

Também deve ser mencionado que um CNAME não é realmente um redirecionamento de URL. As consultas DNS acontecem antes que qualquer conexão com o servidor seja feita e simples forneça ao seu cliente um endereço IP para usar em sua sessão. O cliente ainda sabe qual URL foi originalmente solicitado.

    
por 18.01.2017 / 14:37
1

Em teoria assumindo seu aplicativo foi projetado para ser multi-locado com diferentes domínios. ... não há diferença real.

os nomes não são 'redirecionamentos' , eles são aliases . Eles são simplesmente um nome alternativo para um recurso. Past a pesquisa de DNS que seu aplicativo não vai se importar.

This provides a more secure approach as we can't guarantee that the CNAME will continue to masquerade the third party URL as far as end users are concerned on the browser level.

Não faz sentido, tecnicamente falando. Eu consideraria perder o controle de um nome A ... um pouco menos terrível e descuidado do que perder o controle do endereço IP em que seu aplicativo está sendo executado.

Você também não deve (mas poderia) ter um cname apontando para outro cname.

E bem, não há nenhuma razão para você não conseguir manter este cliente feliz com um nome A, presumindo que sua manutenção de registros seja boa o suficiente e mantendo outros clientes em um cname. Basta adicionar uma taxa de serviço e ajustar seu SLA.

    
por 19.01.2017 / 15:13
0

Um registro seria mais seguro do que um registro CNAME, caso os servidores DNS da empresa.com sejam comprometidos. Além disso, para ser muito nitpicking, um registro CNAME exigiria um pouco mais de tempo devido à resolução de nome adicional. Além disso, não há muita diferença e, de fato, muitos serviços de nuvem da Internet - como o Amazon Web Services - têm o hábito de configurar os CNAMEs para os domínios dos clientes.

Além disso, um URL é algo como link . Um CNAME não pode apontar para um URL, apenas para um nome de host. Dada a sua resposta, parece que o seu cliente não sabe do que está falando. Você pode querer não lutar contra sua falta de noção e, como sugerido por @Joe, satisfazê-los em estabelecer um registro de A.

    
por 19.01.2017 / 17:33

Tags