Complicações do registro CNAME curinga?

Navegue suas respostas
2

Então, estamos usando o Route53 e queríamos configurar um registro CNAME curinga para redirecionar qualquer subdomínio não correspondido para nosso domínio principal. Eu tentei e tudo parecia funcionar bem, mas quando eu disse a um colega sobre isso, ele foi contra registros CNAME curinga declarando que existem problemas / preocupações de segurança ou algo assim, mas não entrar em detalhes. Uma pesquisa na Web realmente não trouxe nenhuma explicação para essa preocupação além dos problemas isolados para implementações de servidor DNS específicas.

Dito isso, há problemas de segurança com registros CNAME curinga? Há problemas com certificados SSL se você tiver apenas um certificado para seu domínio de nível superior? Ou seja, um redirecionamento CNAME significa que o referenciador visto pelo servidor será o subdomínio ou o domínio de nível superior? E sobre questões de origem cruzada?

Ele especificamente preferiu passar pelo problema de configurar o servidor no subdomínio que executa um redirecionamento permanente 301. Isso parece excessivamente complexo quando os RFCs de DNS 1034 e 2672 descrevem um mecanismo para isso e o Route53 parece suportar isso muito bem.

Se, por aí, qualquer um explicitamente recomendar não configurar registros CNAME com caractere curinga, você poderá explicar por que e sob quais circunstâncias recomendou isso?

    
por Andrew De Andrade 16.04.2014 / 21:15

2 respostas

1

Não existem problemas de segurança.

Devo salientar, no entanto, que o DNS não fornece nenhum mecanismo para "redirecionar" per se quaisquer solicitações; um CNAME define um alias para outro nome DNS, mas é necessário um servidor HTTP para "redirecionar" o navegador. Caso contrário, um usuário que visitar whatever.example.com verá ainda whatever.example.com na barra de endereço do navegador, não example.com como um "redirecionamento" por si só agiria. O servidor da Web também veria whatever.example.com na solicitação, o que pode causar problemas se você estiver usando hosts virtuais.

Com essa ressalva, há apenas dois casos em que os registros DNS de curingas podem causar problemas:

  1. Você não pode fornecer respostas NXDOMAIN, porque cada subdomínio existe; isso é apenas um problema se você estiver usando o DNSSEC e, mesmo assim, isso geralmente não importa.
    2. O
  2. SSL só pode proteger o domínio para o qual foi emitido - no entanto, um certificado SSL curinga, como você mencionou, elimina esse problema.

No seu caso (com base no que eu obtive da sua pergunta) eu provavelmente usaria um registro curinga junto com um servidor web que fornece um redirecionamento 301 para o meu endereço "correto"; Alguns provedores de DNS tornam isso conveniente com um "encaminhador da web", mas lembre-se de que, tecnicamente, esse é um servidor da Web que não está sob seu controle e está respondendo a essas solicitações com um redirecionamento 301. (O fraseado disso pode soar assustador, mas se for uma empresa confiável, não é nada para se preocupar, e se não é uma empresa confiável, você não deveria ter seu DNS hospedado com eles, em primeiro lugar !!)

    
por 16.04.2014 / 22:20
1

Estou usando curingas há anos e nunca tive problemas com isso. Até agora, descobri que um celular com Windows em 2003 era o único dispositivo que não lidava com o curinga corretamente.

IMHO usando curingas é muito comum hoje em dia e os problemas surgem raramente. Do ponto de vista da segurança, você recebe alguns vetores de ataque adicionais. Você pode, por exemplo, consultar "someevilXSScode.seudominio.com.br" e ainda acessar o site original. Apenas uma questão menor IMHO.

    
por 16.04.2014 / 22:13

Tags

Definir configuração não no script de lote do CMD Fazendo um trabalho de juniper VPN no linux