Es un registro más seguro que el registro CNAME

6

Tengo un cliente que utiliza nuestra aplicación web de marca blanca. Su url es portal.client.com. Cuando les pedí que señalaran la url a CNAME app.company.com, dijeron que tenía que ser un registro A.

Argumenté que CNAME sería ideal porque si alguna vez tenemos que cambiar la dirección IP, podemos hacerlo en un solo lugar en lugar de contactar a cada uno de nuestros clientes para actualizar su registro DNS, ahorrando tiempo y problemas para ambas partes.

Y aquí está la respuesta que obtuve de ellos:

El hecho de que el CNAME sea una redirección de URL, el mejor enfoque es establecer un registro A para el servidor web del proveedor de alojamiento. Esto proporciona un enfoque más seguro ya que no podemos garantizar que CNAME continuará enmascarando la URL de terceros en lo que respecta a los usuarios finales en el nivel del navegador.

Ahora, nada de eso tiene sentido para mí. En primer lugar, CNAME no es un redireccionamiento de URL ... ¿Puede alguien iluminar cómo o en qué situación un registro A sería un enfoque mejor o más seguro que CNAME y si eso es aplicable en este caso?

Gracias,

Adrian Gunawan
fuente
No entiendo la pregunta. ¿Está diciendo que tiene un servidor con una dirección IP y portal.client.com, pero también desea acceder a través de app.company.com? Algunos proveedores de DNS proporcionan un servicio de redireccionamiento de URL y pueden confundir eso con CNAME. Puede ser más seguro porque el registro CNAME puede apuntar a portal.client.com, pero ¿tal vez ese nombre está secuestrado y su registro A cambiado a un servidor ruso? Ahora app.company.com también apuntará al servidor ruso. Si la dirección IP de app.company.com estuviera codificada con un registro A, iría directamente a la dirección IP sin la búsqueda adicional.
Chloe
@Chloe portal.client.com es propiedad y está administrado por el equipo de TI del cliente, somos dueños de app.company.com. Tiene razón en que si el dominio de company.com es secuestrado, puede cambiar el registro A de app.company.com a un servidor malicioso, pero no parece haber ningún argumento allí. Mi propósito es que portal.client.com se establezca como un alias de app.company.com para que podamos actualizar la dirección IP cuando sea necesario. Un buen escenario será un servidor de varias regiones en el que la dirección IP se pueda resolver de manera diferente según la ubicación geográfica.
Adrian Gunawan
"El hecho de que el CNAME sea una redirección de URL" ... es incorrecto. No es. Su punto sobre la "mascarada de URL" es ciertamente válido en una aplicación multiusuario, pero el uso de un registro A no cambia nada. Simplemente pídales que usen nslookup y verán que no hay diferencia alguna.
Daniel B

Respuestas:

3

Realmente no puedo pensar en una situación en la que CNAME sería menos seguro.

Se podría argumentar que, dado que el alias se extiende sobre una zona ( client.com - & gt; company.com ), no es seguro ya que el punto final no está en client.com El control administrativo. Sin embargo, el cliente supuestamente confía en ti lo suficiente como para usar tu aplicación, entonces, ¿por qué no confiar en que no arruinarás la app.company.com grabar.

Desde el punto de vista de un administrador de sistemas, preferiría tener un CNAME como usted sugirió, pero puede que simplemente lo chupe y mantenga contento a su cliente :).

Joe
fuente
Exactamente esto. Lo único que podría hacer que un registro A sea un poco más seguro que CNAME es que tendrán control administrativo sobre el registro. Obviamente, esto no es algo que desee, ya que podría cambiar su dirección IP y luego solicitar que actualicen el registro.
cascer1
2

No, un registro CNAME no es menos seguro que un registro A.

De hecho, este tipo de situación es exactamente la razón por la cual las CNAME existen en primer lugar.

Desde RFC 1034 Sección 3.6.2. Alias ​​y nombres canónicos. :

los anfitriones y otros recursos a menudo tienen varios nombres que identifican la   mismo recurso Por ejemplo, los nombres C.ISI.EDU y USC-ISIC.ARPA   ambos identifican el mismo host.

También se debe mencionar que un CNAME no es realmente una redirección de URL. Las consultas de DNS se realizan antes de que se realice cualquier conexión al servidor y, de manera simple, proporcione a su cliente una dirección IP para usar en su sesión. El cliente todavía sabe qué URL se solicitó originalmente.

D34DM347
fuente
Prefiero hacer enlaces a IPs, no nombres.
Overmind
El problema con eso es que si necesita cambiar la IP, entonces necesita cambiar todos los registros A. Si usa CNAME, solo necesita cambiar 1 registro.
D34DM347
@Avermind, ¿puede explicar por qué prefiere hacer enlaces a IP? En mi situación, si tuviera 100 clientes elegidos para enlazar a IP, necesitaría enviar un correo electrónico y esperar a que cambien el registro A cada vez que necesito mover servidores, lo cual no es una idea.
Adrian Gunawan
Debido a que los registros de DNS tienen una mayor probabilidad de ser arruinados en comparación con las IP reservadas Encontré muchas situaciones en las que los registros más antiguos no se eliminaron correctamente, incluso si se configuraron las configuraciones correctas o donde se cambiaron los nombres de host y se complicaron las cosas. No hay ninguna razón práctica para usar un nombre donde pueda usar una IP, excepto en la situación en la que las IP no están reservadas y siguen cambiando.
Overmind
1

En teoría asumiendo Su aplicación está diseñada para ser multi tenanted con diferentes dominios. ... no hay diferencia real

los nombres no son 'redirecciones' , ellos son alias . Son simplemente un nombre alternativo para un recurso. Pasado La búsqueda de DNS de su aplicación no le va a importar.

Esto proporciona un enfoque más seguro ya que no podemos garantizar que CNAME continuará enmascarando la URL de terceros en lo que respecta a los usuarios finales en el nivel del navegador.

No tiene sentido, técnicamente hablando. Consideraría perder el control de un nombre A ... algo menos terrible y descuidado que perder el control de la dirección IP en la que se está ejecutando su aplicación.

Tampoco debería (pero podría) tener un cname apuntando a otro cname.

Y bueno, no hay razón para que no puedas mantenerte. esta cliente contento con un nombre A asumiendo que su mantenimiento de registros es lo suficientemente bueno y que mantiene a otros clientes en un cname. Solo agregue un cargo por servicio y ajuste su SLA.

Journeyman Geek
fuente
0

Un registro A sería más seguro que un registro CNAME en caso de que los servidores DNS de company.com estén comprometidos. Además, ser muy Sin embargo, un registro CNAME requeriría un poco más de tiempo debido a la resolución de nombres adicional. Aparte de esto, no hay mucha diferencia y, de hecho, muchos servicios de nube en Internet, como los servicios web de Amazon, tienen la costumbre de configurar CNAME para los dominios de los clientes.

Además, una URL es algo así como http://portal.client.com/myapp/foobar.html . Un CNAME no puede apuntar a una URL, solo a un nombre de host. Dada su respuesta, parece que su cliente no sabe de qué está hablando. Es posible que desee no luchar contra su falta de idea y, como lo sugiere @Joe, complacerlos en establecer un récord.

dr01
fuente