Là một bản ghi DNS ký tự đại diện xấu?

Tôi yêu cầu hoster của tôi thêm ba tên miền phụ tất cả chỉ vào IP của bản ghi A. Có vẻ như anh ta chỉ cần thêm một bản ghi DNS ký tự đại diện bởi vì bất kỳ tên miền phụ ngẫu nhiên nào cũng giải quyết được IP của tôi. Điều này là ổn đối với tôi từ quan điểm kỹ thuật, vì không có tên miền phụ chỉ ra bất cứ nơi nào khác. Sau đó, một lần nữa tôi không thích anh ta không làm những gì tôi yêu cầu. Và vì vậy tôi tự hỏi liệu có những lý do khác để nói với anh ấy để thay đổi điều đó. Có ai không

Điểm trừ duy nhất tôi tìm thấy là ai đó có thể liên kết đến trang web của tôi bằng cách sử dụng http://i.dont.like.your.website.mywebsite.tld.

Nếu bạn từng đặt một máy tính vào miền đó, bạn sẽ gặp phải lỗi DNS kỳ lạ, khi bạn cố gắng truy cập một số trang web ngẫu nhiên trên Internet, thay vào đó bạn sẽ đến máy tính của bạn.

Hãy xem xét: Bạn sở hữu tên miền example.com. Bạn thiết lập máy trạm của bạn và đặt tên cho nó. ... Hãy nói , yukon.example.com. Bây giờ bạn sẽ nhận thấy trong /etc/resolv.confnó có dòng:

search example.com

Điều này thuận tiện vì điều đó có nghĩa là bạn có thể thực hiện tra cứu tên máy chủ, ví dụ như wwwsau đó sẽ www.example.comtự động tìm kiếm cho bạn. Nhưng nó có một mặt tối: Nếu bạn truy cập, giả sử Google, thì nó sẽ tìm kiếm www.google.com.example.comvà nếu bạn có DNS ký tự đại diện, thì điều đó sẽ giải quyết đến trang web của bạn và thay vì truy cập Google, bạn sẽ truy cập trang web của riêng bạn.

Điều này áp dụng như nhau cho máy chủ mà bạn đang chạy trang web của mình! Nếu nó phải gọi các dịch vụ bên ngoài, thì việc tra cứu tên máy chủ có thể thất bại theo cách tương tự. Vì vậy, api.twitter.comví dụ đột nhiên trở thành api.twitter.com.example.com, các tuyến trực tiếp trở lại trang web của bạn và tất nhiên không thành công.

Đây là lý do tại sao tôi không bao giờ sử dụng DNS ký tự đại diện.

Là một bản ghi DNS ký tự đại diện xấu?

Cá nhân, tôi không thích nó. Đặc biệt là khi có máy trong miền đó. Typose không được kiểm tra, lỗi ít rõ ràng hơn ... nhưng về cơ bản không có gì sai.

Điểm trừ duy nhất tôi tìm thấy là ai đó có thể liên kết đến trang web của tôi bằng http: //i.dont.like.your.website.mywebsite.tld .

Có máy chủ http của bạn chuyển hướng tất cả các yêu cầu như vậy đến các địa chỉ chính xác, hợp lệ hoặc không phản hồi gì cả. Đối với nginx đó sẽ là một cái gì đó như :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

và sau đó là thường xuyên

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Tất cả chỉ là vấn đề quan điểm. Đối với tôi đó không phải là thực hành xấu.

Tôi đang tạo một ứng dụng nhiều người thuê sử dụng cơ sở dữ liệu cho mỗi người thuê. Sau đó, nó chọn cơ sở dữ liệu sẽ được sử dụng dựa trên tên miền phụ.

Ví dụ milkman.example.comsẽ sử dụng tenant_milkmancơ sở dữ liệu.

Như thế này tôi đã tách ra bảng cho mỗi người thuê nhà, như, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, mà theo ý kiến của tôi là dễ dàng hơn nhiều khổng lồ để duy trì cho các ứng dụng cụ thể này, thay vì phải tất cả người dùng từ tất cả các công ty trong cùng một bảng.

[edit - Michael Hampton has a good point]

Điều đó đang được nói, nếu bạn không có lý do cụ thể để chấp nhận bất kỳ tên miền phụ (biến) nào, như tôi làm, thì bạn không nên chấp nhận chúng.

Một vấn đề khác ở đây là SEO: nếu tất cả *.example.comhiển thị cùng một nội dung, trang web của bạn sẽ bị Google tham chiếu xấu, ít nhất là bởi Google ( https://support.google.com/webmasters(/66359 ).

Đây thực sự là một ý tưởng tồi, giả sử nếu bạn muốn lưu trữ một tên miền phụ a.company.com trong một máy chủ web và b.company.com trong một máy chủ web khác, có thể là một ISP khác. Bạn sẽ làm gì ?. Vì vậy, DNS ký tự đại diện không phải là một tùy chọn, cần chính xác, tạo bản ghi A cho mỗi tên miền phụ và trỏ đến IP có liên quan. Có thể chuyển máy chủ web của bạn từ ISP này sang ISP khác, trong trường hợp này bạn sẽ làm gì?

Tôi biết đây là một câu hỏi cũ, tuy nhiên tôi muốn chia sẻ một ví dụ thực tế về việc sử dụng tên miền ký tự đại diện có thể gây ra vấn đề gì. Tuy nhiên tôi sẽ thay đổi tên miền và cũng ẩn bản ghi SPF đầy đủ để tránh bối rối.

Tôi đã giúp đỡ ai đó đang gặp vấn đề với DMARC, như một phần của kiểm tra tôi luôn tra cứu hồ sơ DMARC với DIG

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Tôi cũng nhận được kết quả tương tự khi tìm kiếm hồ sơ DKIM của họ.

Do đó, các email được gửi từ miền này sẽ bị DKIM thất bại vì mô-đun DKIM sẽ thử phân tích bản ghi SPF cho khóa DKIM và thất bại, và cũng sẽ nhận được Permerror cho DMARC vì lý do tương tự.

Các tên miền ký tự đại diện có vẻ như là một ý tưởng tốt nhưng thiết lập sai chúng có thể gây ra tất cả các loại vấn đề.

Là một bản ghi DNS ký tự đại diện xấu?

Không, và trái với những người khác tôi tin rằng đó là một thực hành tốt.

Hầu hết người dùng internet đều chọn một tên DNS tại một số điểm. Họ sẽ gõ ww.mycompany.comhoặcwwe.mycompany.com Điều gì bạn muốn xảy ra là "rất tiếc chúng tôi không thể tìm thấy trang web đó" hoặc để họ kéo trang chủ chính của bạn lên? Thường xuyên hơn là không có chúng kéo lên trang chủ chính của bạn là tốt hơn. Đó là những gì rất nhiều người làm.

Ngay cả khi ai đó đặt một liên kết đến i.dont.like.your.website.whatever.comnó vẫn sẽ kéo lên trang chủ của bạn , đó thực sự là những gì bạn muốn. Rốt cuộc, họ không thể làm cho i.dont....trang web đó đến máy chủ của họ, bạn vẫn kiểm soát định tuyến DNS để nó đi đến trang của bạn.

Tôi nghĩ rằng lý do tốt nhất để không có bản ghi DNS ký tự đại diện ở nơi đầu tiên là để tránh trao địa chỉ IP máy chủ của bạn cho kẻ tấn công tiềm năng và giảm sự phơi bày trước các cuộc tấn công DDOS. Đây cũng là đề xuất thiết lập bởi Cloudflare: https://blog.cloudflare.com/ddos-prevent-protecting-the-origin/