使用DNS CName安全性

Question

我们的DNS管理员告诉我，使用CNAME记录不是“最佳实践”，而是一个安全漏洞。这是真的吗？我一直使用CNAME记录来减少DNS记录的管理开销。

Answer 1

% dig www.google.com a

; <<>> DiG 9.6.1-P1-RedHat-9.6.1-6.P1.fc11 <<>> www.google.com a
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8426
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.google.com.                        IN      A

;; ANSWER SECTION:
www.google.com.         532778  IN      CNAME   www.l.google.com.

等等..。

如果它对谷歌来说足够好，那么它对任何人都足够好。

当然，如果CNAME的目标在您的区域之外，那么它就是您无法控制的信息。但是如果左边和右边都在你自己的范围内，那就根本没有风险了！

Answer 2

我想说的是，这不是真的，除非指向良好的信息证明并非如此。

如果CNAME指的是不受自己控制的区域，可能会出现一个潜在的问题，因为它们可能会意外地改变最终结果，但这是完全正常的“你信任第三方吗？”发出而不是DNS特定的。

如果我是你，我会问你的DNS管理员，如果他有任何信息，你可以读到他关心的问题-只是确保请求听起来像是你想要学习的东西，而不是试图证明他错了。如果他确实给了你一个很好的答案，请张贴在这里，这样我们也可以被教育！

Answer 3

这是FUD。如前所述，CNAME比A记录更不安全的唯一方法是，如果它指向您无法控制的第三方域。如果它引用了同一域中的另一条记录，那么它是完全没有问题的。

他可能会感到困惑，因为某些类型的记录(如MX条目！)不允许指向CNAME，它们必须按照RFCs指出A记录。这本身并不是一个安全问题，更多的是“您可能不会收到由RFC严格的MTAs发送的电子邮件”问题。