Jas*_*ner 3 security domain-name-system cname-record
我们的 DNS 管理员告诉我,使用 CNAME 记录不是“最佳实践”,而是一个安全漏洞。这是真的?我一直使用 CNAME 记录来减少 DNS 记录的管理开销。
我想说这不是真的,除非有好的信息证明事实并非如此。
如果您的 CNAME 引用不受您自己控制的区域,则存在潜在问题,因为它们可能会意外地更改最终结果,但这是完全正常的“您信任第 3 方吗?” 问题而不是特定于 DNS 的问题。
如果我是您,我会询问您的 DNS 管理员,他是否有任何您可以阅读的关于他所关心的问题的信息 - 只要确保该请求听起来像是您在尝试学习某些东西,而不是试图证明他是错的。如果他确实给了您一个好的答案,请将其发布在这里,以便我们也可以接受教育!
% dig www.google.com a
; <<>> DiG 9.6.1-P1-RedHat-9.6.1-6.P1.fc11 <<>> www.google.com a
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8426
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 4
;; QUESTION SECTION:
;www.google.com. IN A
;; ANSWER SECTION:
www.google.com. 532778 IN CNAME www.l.google.com.
等等....
如果它对谷歌足够好,那么它对任何人都足够好。
当然,如果CNAME的目标不在您的区域内,那么它就是您无法控制的信息。但是,如果左侧和右侧都在您自己的领域内,则完全没有风险!