Tengo un cliente que utiliza nuestra aplicación web de marca blanca. Su URL es portal.client.com. Cuando les pedí que apuntaran la URL a CNAME app.company.com, dijeron que tenía que ser un registro A.
Argumenté que CNAME sería ideal porque si alguna vez necesitamos cambiar la dirección IP, podemos hacerlo en un solo lugar en lugar de contactar a cada uno de nuestros clientes para actualizar su registro DNS, ahorrando tiempo y molestias para ambas partes.
Y aquí está la respuesta que recibí de ellos:
El hecho de que el CNAME sea una redirección de URL, el mejor enfoque es establecer un registro A para el servidor web del proveedor de alojamiento. Esto proporciona un enfoque más seguro ya que no podemos garantizar que CNAME continúe enmascarando la URL de terceros en lo que respecta a los usuarios finales a nivel del navegador.
Ahora, nada de eso tiene sentido para mí. En primer lugar, CNAME no es una redirección de URL... ¿Alguien puede arrojar luz sobre cómo o en qué situación un registro A sería un enfoque mejor o más seguro que CNAME y si eso es aplicable en este caso?
Gracias,
Respuesta1
Realmente no puedo pensar en una situación en la que CNAME sea menos seguro.
Se podría argumentar que, dado que el alias abarca una zona ( client.com-> company.com), no es seguro ya que el punto final no está bajo client.comel control administrativo. Sin embargo, el cliente supuestamente confía en usted lo suficiente como para usar su aplicación, entonces, ¿por qué no confiar en que no arruinará el app.company.comregistro?
Desde el punto de vista de un administrador de sistemas, prefiero tener un CNAME como sugeriste, pero podrías usarlo y mantener contento a tu cliente :).
Respuesta2
No, un registro CNAME no es menos seguro que un registro A.
De hecho, este tipo de situación es exactamente la razón por la que existen los CNAME.
DeRFC 1034 Sección 3.6.2. Alias y nombres canónicos:
Los hosts y otros recursos suelen tener varios nombres que identifican el mismo recurso. Por ejemplo, los nombres C.ISI.EDU y USC-ISIC.ARPA identifican el mismo host.
También hay que mencionar que un CNAME no es realmente una redirección de URL. Las consultas de DNS se realizan antes de que se realice cualquier conexión al servidor y simplemente proporcione a su cliente una dirección IP para usar en su sesión. El cliente aún sabe qué URL se solicitó originalmente.
Respuesta3
Enteoríaasumiendosu aplicación está diseñada para ser multiusuario con diferentes dominios. ... no hay una diferencia real.
los nombres no lo son'redirecciones', ellos sonalias. Son simplemente un nombre alternativo para un recurso.PasadoLa búsqueda de DNS a su aplicación no le importará.
Esto proporciona un enfoque más seguro ya que no podemos garantizar que CNAME continúe enmascarando la URL de terceros en lo que respecta a los usuarios finales a nivel del navegador.
No tiene sentido, técnicamente hablando. Consideraría perder el control de un nombre A... algo menos terrible y descuidado que perder el control de la dirección IP en la que se ejecuta su aplicación.
Tampoco deberías (pero podrías) tener un cname apuntando a otro cname.
Y bueno, no hay ninguna razón por la que no puedas seguiresteCliente satisfecho con un nombre A, suponiendo que su mantenimiento de registros sea lo suficientemente bueno y manteniendo a otros clientes con un nombre C. Simplemente agregue un cargo por servicio y ajuste su SLA.
Respuesta4
Un registro A sería más seguro que un registro CNAME en caso de que los servidores DNS de company.com estén comprometidos. Además, sermuyPara ser más quisquilloso, un registro CNAME requeriría un poco más de tiempo debido a la resolución de nombre adicional. Aparte de esto, no hay mucha diferencia y, de hecho, muchos servicios de Internet en la nube, como Amazon Web Services, tienen la costumbre de configurar CNAME para los dominios de los clientes.
Además, una URL es algo así comohttp://portal.client.com/myapp/foobar.html. Un CNAME no puede apuntar a una URL, sólo a un nombre de host. Dada su respuesta, parece que su cliente no sabe de qué está hablando. Es posible que desees no luchar contra su desorientación y, como sugiere @Joe, complacerlos estableciendo un récord A.