Ich habe einen Kunden, der unsere White-Label-Webanwendung verwendet. Seine URL lautet portal.client.com. Als ich ihn bat, die URL auf CNAME app.company.com zu verweisen, sagte er, dass es ein A-Eintrag sein müsse.
Ich habe argumentiert, dass CNAME ideal wäre, weil wir, falls wir jemals die IP-Adresse ändern müssen, dies einfach an einer Stelle tun können, anstatt jeden unserer Kunden zu kontaktieren, um seinen DNS-Eintrag zu aktualisieren, was beiden Seiten Zeit und Aufwand spart.
Und hier ist die Antwort, die ich von ihnen erhalten habe:
Da es sich bei CNAME um eine URL-Umleitung handelt, besteht die beste Vorgehensweise darin, einen A-Eintrag für den Webserver des Hosting-Anbieters einzurichten. Dies bietet einen sichereren Ansatz, da wir nicht garantieren können, dass CNAME die URL des Drittanbieters für Endbenutzer auf Browserebene weiterhin maskiert.
Nun, das alles ergibt für mich keinen Sinn. Erstens und vor allem ist CNAME keine URL-Weiterleitung ... Kann jemand erklären, in welcher Situation ein A-Eintrag besser oder sicherer wäre als CNAME und ob das in diesem Fall anwendbar ist?
Danke,
Antwort1
Ich kann mir keine Situation vorstellen, in der CNAME weniger sicher wäre.
Man könnte argumentieren, dass der Alias sich über eine Zone erstreckt ( client.com-> company.com) und deshalb nicht sicher ist, da der Endpunkt nicht unter der administrativen Kontrolle von steht . Der Client vertraut Ihnen jedoch vermutlich genug, um Ihre Anwendung zu verwenden. Warum also nicht darauf vertrauen, dass Sie den Datensatz client.comnicht durcheinanderbringen?app.company.com
Aus Sicht eines Systemadministrators wäre mir ein CNAME lieber, wie Sie vorgeschlagen haben, aber vielleicht sollten Sie es einfach hinnehmen und Ihren Kunden zufriedenstellen :).
Antwort2
Nein, ein CNAME-Eintrag ist nicht weniger sicher als ein A-Eintrag.
Tatsächlich ist diese Art von Situation genau der Grund, warum CNAMEs überhaupt existieren.
AusRFC 1034 Abschnitt 3.6.2. Aliase und kanonische Namen:
Hosts und andere Ressourcen haben oft mehrere Namen, die dieselbe Ressource identifizieren. Beispielsweise identifizieren die Namen C.ISI.EDU und USC-ISIC.ARPA beide denselben Host.
Es sollte auch erwähnt werden, dass ein CNAME nicht wirklich eine URL-Umleitung ist. DNS-Abfragen erfolgen, bevor eine Verbindung zum Server hergestellt wird, und geben Ihrem Client einfach eine IP-Adresse, die er für seine Sitzung verwenden kann. Der Client weiß immer noch, welche URL ursprünglich angefordert wurde.
Antwort3
InTheorievorausgesetztIhre Anwendung ist für die Verwendung mit mehreren Mandanten und verschiedenen Domänen ausgelegt. … es gibt keinen wirklichen Unterschied.
CNames sind nicht'Weiterleitungen', Sie sindAliase. Sie sind einfach ein alternativer Name für eine Ressource.Vergangenheitdie DNS-Suche ist Ihrer Anwendung egal.
Dies bietet einen sichereren Ansatz, da wir nicht garantieren können, dass der CNAME die URL des Drittanbieters für Endbenutzer auf Browserebene weiterhin maskiert.
Technisch gesehen ergibt das keinen Sinn. Ich würde den Kontrollverlust über einen A-Namen als weniger schlimm und fahrlässig betrachten, als den Kontrollverlust über die IP-Adresse, unter der Ihre Anwendung läuft.
Sie sollten außerdem keinen CNAME haben (könnten aber), der auf einen anderen CNAME verweist.
Und es gibt keinen Grund, warum Sie nichtDasDer Kunde ist mit einem A-Namen zufrieden, vorausgesetzt, Ihre Datenhaltung ist gut genug, und andere Kunden werden mit einem C-Namen verwaltet. Schlagen Sie einfach eine Servicegebühr auf und passen Sie Ihr SLA an.
Antwort4
Ein A-Eintrag wäre sicherer als ein CNAME-Eintrag, falls die DNS-Server von company.com kompromittiert werden.sehrUm es kleinlich auszudrücken: Ein CNAME-Eintrag würde aufgrund der zusätzlichen Namensauflösung etwas mehr Zeit in Anspruch nehmen. Abgesehen davon gibt es keinen großen Unterschied, und tatsächlich haben viele Internet-Cloud-Dienste – wie Amazon Web Services – die Angewohnheit, CNAMEs für die Domänen der Kunden festzulegen.
Außerdem ist eine URL so etwas wiehttp://portal.client.com/myapp/foobar.html. Ein CNAME kann nicht auf eine URL verweisen, sondern nur auf einen Hostnamen. Aus ihrer Antwort geht hervor, dass Ihr Kunde nicht weiß, wovon er spricht. Sie sollten sich vielleicht nicht gegen ihre Ahnungslosigkeit wehren und ihnen, wie von @Joe vorgeschlagen, die Einrichtung eines A-Eintrags gestatten.