Я использую Route53 для DNS и хочу запретить использование записи CNAME для недоверенного домена.
Например, у меня есть три домена:
master.comtest1.comtest2.com
master.comимеет записи A:
test1.comэтоCNAMEкmaster.comtest2.comэтоCNAMEкmaster.com
Я хочу защитить master.comи предотвратить создание CNAME для других доменов (кроме test1.comи test2.com)
Как я могу это сделать?
решение1
DNS не поддерживает это. Неважно, какой DNS-провайдер вы используете, потому что создание записи CNAME выполняется полностью на «исходном» домене и вообще не связывается с «целевым». Поэтому домен может публиковатьлюбойDNS-записи слюбойданные.
Единственное, что вы можете сделать при работе с HTTP(S), TLS-SNI и другими протоколами, поддерживающими виртуальные хосты, — это убедиться, что ваш сервер отклоняет все запросы на неизвестные виртуальные хосты.
решение2
Вы не можете запретить кому-либо создавать запись CNAME, указывающую на ваш домен, так же как вы не можете запретить кому-либо просить своих друзей позвонить на ваш номер телефона.
Запись CNAME похожа на запись на автоответчике, которая просит вас позвонить по другому номеру. Например, вы звоните по номеру 555-1111, а в сообщении говорится: «Позвоните по номеру 555-2222». Таким же образом запись CNAME для www.example.comможет указывать на www.yourdomain.com. Когда клиент DNS ищет www.example.comи находит запись CNAME, он перезапускает процесс поиска DNS для www.yourdomain.com..., как если бы он пытался найти ее www.yourdomain.comизначально.
Поскольку вы не контролируете домен, на котором создана запись CNAME, и поскольку вы не можете отличить поиск записей вашего домена, вызванный записями CNAME, от собственного поиска, вы не можете запретить записям CNAME указывать на вас, так же как вы не можете запретить кому-либо оставлять на своем автоответчике сообщение с просьбой к звонящим звонить на ваш номер.