web-dev-qa-db-ja.com

信頼されていないドメインのCNAMEレコードの使用を防止する

DNSにRoute53を使用していて、信頼されていないドメインにCNAMEレコードが使用されないようにしたい。

たとえば、3つのドメインがあります。

  • master.com
  • test1.com
  • test2.com

master.comにはAレコードがあります:

  • test1.comCNAMEmaster.comです
  • test2.comCNAMEmaster.comです

master.comを保護し、別のドメイン(test1.comtest2.comを除く)にCNAMEが作成されないようにしたい

これどうやってするの?

15
Master

DNSはこれをサポートしていません。 CNAMEレコードの作成は完全に「ソース」ドメインで行われ、「ターゲット」にはまったくアクセスしないため、どのDNSプロバイダーを使用しても問題ありません。したがって、ドメインはany DNSレコードをanyデータで公開できます。

HTTP(S)、TLS-SNI、および仮想ホストをサポートするその他のプロトコルを処理するときにできる唯一のことは、サーバーが不明なvhostに対するすべての要求を確実に拒否することです。

30
user1686

誰かがあなたの電話番号に電話するように友人に言うのを防ぐことができる以上に、誰かがあなたのドメインを指すCNAMEレコードを作成するのを防ぐことはできません。

CNAMEレコードは、別の番号に電話するように伝える留守番電話に録音を残すようなものです。たとえば、555-1111に電話をかけると、「555-2222に電話して」というメッセージが表示されます。同様に、www.example.comのCNAMEレコードはwww.yourdomain.comを指すことができます。 DNSクライアントがwww.example.comを検索してCNAMEレコードを検出すると、最初にwww.yourdomain.comを検索しようとしているかのように、www.yourdomain.com...のDNS参照プロセスを再開します。 。

CNAMEレコードが作成されるドメインを制御しないため、CNAMEレコードとネイティブルックアップが原因で発生したドメインレコードのルックアップを区別できないため、CNAMEレコードがあなたを指すのを防ぐことはできません。誰かが自分の留守番電話にメッセージを残さず、代わりに発信者にあなたの番号に電話をかけるように指示することができます。