Uso da Segurança do DNS CName

% dig www.google.com a

; <<>> DiG 9.6.1-P1-RedHat-9.6.1-6.P1.fc11 <<>> www.google.com a
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8426
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.google.com.                        IN      A

;; ANSWER SECTION:
www.google.com.         532778  IN      CNAME   www.l.google.com.

etc ....

Se for bom o suficiente para o Google, é bom o suficiente para qualquer pessoa.

Claro, se o alvo do CNAME estiver fora da sua zona, então é uma informação que você não controla. Mas se tanto o lado esquerdo quanto o lado direito estão em seu próprio domínio, então não há risco algum!

Eu diria que isso não é verdade, a menos que aponte para boas informações provando o contrário.

Existe um problema em potencial se você tiver CNAMEs referentes a zonas que não são controladas por você, pois elas podem alterar o resultado final inesperadamente, mas isso é perfeitamente normal "você confia na terceira parte?" problema em vez de um DNS específico.

Se eu fosse você, perguntaria ao seu administrador de DNS se ele tinha alguma informação que você pudesse ler sobre o assunto em questão - apenas certifique-se de que a solicitação parece estar tentando aprender algo em vez de tentar provar que ele está errado . Se ele der uma boa resposta, poste-o aqui para que possamos ser educados também!

Isso é FUD. Como já mencionado, a única forma de um CNAME ser menos seguro que um registro A é se ele apontar para um domínio de terceiros que você não controla. Se se refere a outro registro no mesmo domínio, então está completamente bem.

Ele pode estar confuso, porque certos tipos de registros (como as entradas MX!) não têm permissão para apontar para CNAMEs, eles devem apontar para registros A conforme os RFCs. Este não é um problema de segurança per se, porém, mais de um problema "você pode não receber e-mails sendo enviados por MTAs RFC restritos".

O Google usa tabelas para marcar suas páginas. Isso não é porque é bom para ninguém, é porque eles querem apoiar todos os outros navegadores.

Os CNAMEs são usados principalmente de maneira errada. Mas isso não é uma questão de segurança, é claro. CNAME para algum outro domínio também não é um problema de segurança. É como dizer que o redirecionamento 302 para a autenticação OpenID é um problema de segurança. Se você colocar algo no valor de registro DNS, então você é responsável pelo que fez. Talvez você realmente quisesse colocar outro domínio lá. Nenhum problema de segurança.

É um problema semântico (religião, se você quiser). O registro CNAME destina-se a ser um "nome canônico" para um conjunto de outros nomes. Consulte o link página 14. Ou seja, você tem www.dom.tld, www1.dom.tld, etc. Todos esses nomes têm registros A, aliases para endereços IPv4. Agora você adiciona um registro www CNAME www1 e isso significa que de dois aliases, o www é canônico, primário. Esse mecanismo pode ser usado para dizer, ou seja, rastreadores de mecanismos de pesquisa quais dos seus nomes são aliases para outro e quais são os principais. Mas, em vez disso, eles usam redirecionamentos 301 de www.dom.tld para apenas dom.tld ou vice-versa, dependendo de seus costumes.

Não estou dizendo que um não deve usar CNAMEs como aliases. Isso funciona, porque não. Funcionou dessa maneira por muitos anos, talvez seja a nova verdade, como sistemas devem evoluir com o tempo, etc.

Para registros de endereço que não são mencionados por registros que proíbem isso, como registros NS ou MX, eles são bons. No entanto, eu seria cuidadoso se eles cruzassem uma zona (mesmo que você controlasse), pois isso exigiria consultas DNS adicionais para resolver o destino do nome.