Warum verwenden Browser keine SRV-Einträge? [geschlossen]

8

Es scheint ein minimaler Arbeitsaufwand zu sein und wird die serverseitige Implementierung zuverlässiger Websites viel einfacher machen. Auch SRV-Rekorde gibt es schon seit Jahren ...

Fehlt mir hier etwas?

Edit: @DJ Pon3 - ich spreche von:

  1. Ein Standort wird von zwei Rechenzentren aus bedient, ohne dass BGP erforderlich ist, funktioniert jedoch weiterhin, wenn eines der beiden Rechenzentren offline geschaltet wird. (Kann auch durch kurze DNS-TTLs erreicht werden.)

  2. Mehrere httpS-Server an verschiedenen Ports an einer IP-Adresse.

Fadedbee
quelle
Mir ist nicht klar, welches Problem genau Sie lösen würden. Bisher war es durchaus möglich, zuverlässige Webdienste ohne srv-Datensätze zu erstellen.
Rob Moir
1
Ich denke (und vielleicht nur, weil ich ein einfacher Mensch bin), dass es das Problem lösen würde, eine Website auf einem alternativen Port auszuführen, ohne dass der Benutzer wissen muss, auf welchem ​​Port die Site ausgeführt wird, und die Portnummer in das eingeben muss URL.
Joeqwerty
2
genaues Duplikat von stackoverflow.com/questions/9063378/…
Alnitak
@chrisdew warum hast du auf beiden Seiten genau die gleiche Frage gestellt?
Alnitak

Antworten:

5

Warum verwenden Browser keine SRV-Einträge?

Weil SRV-Datensätze nicht existierten, als http einmal empfangen wurde, und weil angenommen wird, dass http kein Dienst ist.

SRV-Rekorde gibt es schon seit Jahren ...

Hahaha. Erinnerst du dich an die Zeit, als HTTP gestartet wurde? Wen wurden die ersten Browser geschrieben? Das ist eine lange Zeit her.

SRV sind die ersten in RFC 2782. HTTP geht für 1.0 an RFC 1945. Ratet mal, was zuerst war.

TomTom
quelle
HTTP 1.1 war 2616, also auch verpasst. Ist HTTP 1.2 mit SRV-Unterstützung, die wir brauchen?
Fadedbee
Nein, weil frag was - es wird nicht benötigt;)
TomTom
10
-1 für das ziemlich dumme Argument, dass das relative Alter die Interoperabilität einschränkt. Die Welt wirklich funktioniert die Fähigkeit hat , machen zwei getrennte Erfindungen zusammen arbeiten , sobald es sie gibt, und hat nur , dass viele Male im Laufe der Geschichte gemacht. Es wurde sogar zweimal für SRVRessourceneinträge und HTTP durchgeführt.
JdeBP
@JdeBP Sie wissen genau, dass es jetzt so einfach gewesen wäre, wenn es so einfach gewesen wäre. Das Problem besteht darin, Websites auf einen HTTP + SRV-Mechanismus umzustellen, ohne den unzähligen Millionen Benutzern, die in alten Browsern stecken bleiben, eine schlechtere Erfahrung zu bieten.
Alnitak
6
Du meinst ein paar Mal, dass jemand einen Internetentwurf geschrieben hat? Das ist kaum dasselbe - es ist trivial , eine zu schreiben, und dann trifft dich die reale Welt und du findest, dass es tatsächlich eine Menge Randfälle und andere Probleme gibt, was bedeutet, dass es in der realen Welt nicht funktioniert, und schließlich läuft der Entwurf ab und wird meistens vergessen. Verdammt, das ist mir schon einigen passiert.
Alnitak
7

SRV Aufzeichnungen bieten drei Dinge:

  1. Mehrere Hostnamen - können ohne ausgeführt werden
  2. Alternative Ports - schlechte Idee - siehe unten
  3. Ein Fix für das CNAME at Zone Apex-Problem

Betreff: Alternative Ports - SRV-Einträge können verwendet werden, um Webserver auf alternativen Ports auszuführen, ohne dass diese Tatsache in der URL angekündigt werden muss. Das ist eine schlechte Sache . Unternehmensfirewall-Richtlinien verbieten sehr häufig den Zugriff auf "ungewöhnliche" Ports, und die Förderung der Verwendung alternativer Ports wäre für die Zugänglichkeit der Site schlecht.

Der einzige greifbare Vorteil, den ich sehe, ist für # 3 - es würde ermöglichen example.com, umgeleitet zu werden, webhost.example.netohne dass ein CNAME(was in einem Zonenscheitelpunkt nicht zulässig ist) oder ein ADatensatz (der für die Zonenwartung schlecht ist ) erforderlich ist .

Alnitak
quelle
2
-1 für das Verpassen des ganzen Punktes, obwohl viele Leute es im Laufe der Jahre geschafft haben, dies zu fragen, und der Fragesteller sogar darauf anspielt, was natürlich die explizite Lastausgleichs- und Fallback-Information für Kunden ist.
JdeBP
3
@JdeBP IMNSHO-Lastausgleichs- und Fallback-Daten gehören nicht zum DNS - das liegt weit im Bereich der "Stupid DNS Tricks (TM)". Beide gehören zur IP-Routing-Schicht - dies ist der einzige Ort, an dem Sie ein nahtloses Failover zwischen Diensten bereitstellen können.
Alnitak
1
Alternative Ports sind eigentlich eine gute Idee, da Protokolle nicht an Ports gebunden sein sollten. Stellen Sie sich eine Welt vor, in der sich die Post immer im zweiten Stock des Gebäudes befinden musste. Wäre das nicht sinnlos? Dafür haben wir Adressbücher (DNS)! Was wirklich eine schlechte Idee ist, ist das Definieren ausgehender Firewall-Regeln basierend auf einem Port. Es ist einfach sinnlos, weil Angreifer immer die nicht blockierten Ports verwenden können. Stellen Sie sich außerdem eine Welt vor, in der es in jedem Gebäude verweigert wird, in die 2. Etage zu gehen, nur weil es sich um ein Postamt handeln könnte. Komisch, nicht wahr? ;)
FlashFan
@FlashFan Leider bestehen Unternehmen weiterhin darauf, den Internet- Ausgang zu blockieren, indem sie davon ausgehen, dass sich alle Websites auf Port 80 oder 443 befinden.
Alnitak
1
Ja, ich weiß. Aus diesem Grund wäre es gut, SRV-Datensätze zu aktivieren, da dies die Unternehmen dazu zwingt, diese sinnlosen, schlechten Praktiken einzustellen. Egal wie viele ausgehende Ports Sie blockieren, solange ein Port offen ist, können Sie alles tun, was Sie wollen, weil Sie alles über jeden Port tun können. Die Tatsache, dass Sie nicht einmal wissen können, ob es sich bei der TLS-Verbindung an Port 443 tatsächlich um HTTP handelt, unterstreicht dies nur.
FlashFan