Eu uso o Route53 para DNS e quero impedir o uso de um registro CNAME para um domínio não confiável.
Por exemplo, tenho três domínios:
master.comtest1.comtest2.com
master.comtem os registros A:
test1.comé umCNAMEparamaster.comtest2.comé umCNAMEparamaster.com
Quero proteger master.come impedir a criação de CNAME para outros domínios (exceto test1.come test2.com)
Como posso fazer isso?
Responder1
O DNS não suporta isso. Não importa qual provedor de DNS você usa, porque a criação de um registro CNAME é feita inteiramente no domínio de ‘origem’ e não entra em contato com o ‘destino’. Portanto, um domínio pode publicarqualquerRegistros DNS comqualquerdados.
A única coisa que você pode fazer – ao lidar com HTTP(S), TLS-SNI e outros protocolos que suportam hosts virtuais – é garantir que seu servidor rejeite todas as solicitações de vhosts desconhecidos.
Responder2
Você não pode impedir que alguém crie um registro CNAME que aponte para o seu domínio, assim como não pode impedir que alguém diga a seus amigos para ligarem para o seu número de telefone.
Um registro CNAME é como deixar uma gravação em uma secretária eletrônica solicitando que você ligue para um número diferente. Por exemplo, você liga para 555-1111 e a mensagem diz: “Ligue para 555-2222”. Da mesma forma, um registro CNAME para www.example.compode apontar para www.yourdomain.com. Quando o cliente DNS procura www.example.come encontra o registro CNAME, ele reinicia o processo de pesquisa de DNS para www.yourdomain.com... como se estivesse tentando pesquisar www.yourdomain.comem primeiro lugar.
Como você não controla o domínio onde o registro CNAME é criado e como não consegue distinguir entre pesquisas de registros de domínio originadas por causa de registros CNAME e pesquisas nativas, você não pode impedir que registros CNAME apontem para você, assim como você pode impedir que alguém deixe uma mensagem em sua própria secretária eletrônica solicitando que os chamadores liguem para o seu número.