Não consigo pensar em uma situação em que o CNAME seja menos seguro.
Pode-se argumentar que, como o alias se estende por uma zona ( client.com
- > company.com
), não é seguro, pois o endpoint não está no controle administrativo de client.com
. No entanto, o cliente supostamente confia em você o suficiente para usar seu aplicativo, então por que não confiar que você não estraga o registro app.company.com
.
De um ponto de vista sysadmin eu prefiro ter um CNAME como você sugeriu, mas você pode apenas sugá-lo e manter seu cliente feliz:).