Siehe z. B.: So richten Sie CNAME so ein, dass es auf Azure verweist
oder der Text im Azure-Portal:
Warum ist das überhaupt notwendig? Warum beweist das Zeigen des Domainnamens durch einen A-Eintrag nicht , dass ich der Eigentümer der Domain bin?
Ich meine ... wie kann man sonst überhaupt einen DNS-Eintrag ändern?
Welchen Missbrauch verhindert diese Regel?
domain-name-system
security
azure
Dirk Boer
quelle
quelle
Antworten:
Wenn Sie die Kontrolle über eine DNS-Suche für einen Computer haben oder einen Host-Eintrag einfügen können, können Sie einen A-Eintrag für diesen Computer fälschen und auf eine Azure-Website verweisen (nichts hindert Sie daran, dies für eine VM zu tun obwohl)
Wenn Sie einen cname-Eintrag erstellen und ihn unabhängig überprüfen (über das interne / öffentliche DNS-System), haben Sie die Kontrolle über die Domain und fälschen nicht die Domain eines anderen.
quelle
Um die Kontrolle über die Domäne nachzuweisen, müssen Sie einige Informationen in einen DNS-Eintrag in der Domäne einfügen, der Ihr Azure-Konto identifiziert.
Solche Informationen können in den Domänennamen eingebettet werden, auf den ein CNAME verweist. Der Teil der Domain, der in Ihrem Beitrag weggelassen wurde, würde voraussichtlich Ihr bestimmtes Azure-Konto identifizieren.
Sie müssen diesen Namen eigentlich nicht geheim halten. Schließlich wird es öffentlich sichtbar, sobald Sie es in einen DNS-Eintrag einfügen.
Der Grund, warum sie mit einem A-Datensatz nicht dasselbe tun konnten, ist, dass ein A-Datensatz nicht genügend Entropie enthält, um die gleiche Sicherheit zu erreichen.
Das bedeutet nicht, dass der CNAME die einzige Methode ist, die sie hätten verwenden können. Andere Methoden, die hätten funktionieren können, sind:
Persönlich halte ich einen TXT-Datensatz für eine vom Verifizierer zufällig generierte Subdomain für die beste Methode, da sie am wenigsten aufdringlich ist. Dies scheint in Ihrem Fall jedoch nicht unterstützt zu werden.
quelle
Lassen Sie mich versuchen, Ihre Frage mit zwei Fällen zu beantworten. In beiden Fällen müssen Sie weiterhin überprüfen, ob Sie der Eigentümer sind. Dies ist nur ein Sicherheitsschritt.
1)
www.example.com
wird nicht besucht und ist nicht in Produktion2)
www.example.com
ist derzeit in Produktion und wird stark genutzt1) Wenn Ihre Domain gerade eingerichtet wird oder sich nicht in der Produktion befindet oder auf die zugegriffen wird, können Sie einen CNAME-Datensatz erstellen, auf den verwiesen wird
yoursite.azurewebsites.net
. Nichtawverify.myhost.azurewebsites.net
benötigt.2) Wenn Ihre Domain stark genutzt wird und derzeit auf sie zugegriffen wird und Sie testen möchten, ob Azure die Änderungen in Ihren DNS-Einträgen sieht, können Sie eine Subdomain mit dem Namen '
awverify
' wie in erstellenawverify.example.com
und auf ein erstelltes Sub verweisen -domainawverify.myhost.azurewebsites.net
. Dies hat keine Auswirkungen auf Ihre aktuellen Benutzer, die auf Ihre Website zugreifenwww.example.com
. Sobald Azure überprüft, ob die Änderung im CNAME angezeigt wird, können Sie Benutzer über die Wartung benachrichtigen und den A-Datensatz ändern. Wenn Sie nur den A-Datensatz ändern, wird die Site möglicherweise bis zu 8 Stunden lang als offline angezeigt.Um Ihre Frage einfach zu beantworten, müssen Sie sie nicht verwenden
awverify
. Nur das Ändern des CNAME kann ebenfalls funktionieren. Durch einfaches Ändern des A-Datensatzes wird der gesamte Datenverkehr vonyourdomain.com
nach umgeleitetyoursite.azurewebsites.net
Hoffe das hilft.
quelle
1) Ich habe mehrere Sites in Azure eingerichtet und alle haben dieselbe IP-Adresse im A-Datensatz. Ich weiß nicht, ob die IP-Adresse des A-Datensatzes möglicherweise auch einem anderen Konto zugewiesen wurde, aber möglicherweise ist dies eine Möglichkeit. In diesem Fall kann die Azure-Website eines anderen Benutzers möglicherweise hochgeladen werden, indem die Domäne einfach in das eigene Azure-Kontrollfeld eingegeben wird. Dies ist nur eine Theorie, ich weiß nicht, ob es aus der Ferne möglich ist.
2) Wie oben erwähnt, ist der CNAME-Datensatz im Grunde ein inerter Datensatz. Der Verkehr wird nicht umgeleitet. Als ich eine große Site und ihr SSL-Zertifikat migrierte, war es ein Segen, mit awsverify den Besitz beanspruchen zu können, die Domäne und das SSL-Zertifikat konfigurieren zu lassen und dann den gesamten Code in Azure zu testen. Wochen später habe ich den A-Datensatz geändert, um live zu gehen. Der Punkt ist, dass der A-Datensatz erst zum Zeitpunkt der Inbetriebnahme geändert wurde, Wochen nachdem die awsverify-Funktion zur Überprüfung des Eigentums an der Domain verwendet wurde. In meinem Fall war es also hilfreich.
quelle
Nicht, dass ich damit einverstanden wäre, aber hier ist die Antwort, die ich direkt von Microsoft erhalten habe. Kurz gesagt, es verhindert, dass jemand eine Domain, die Sie besitzen, zu einer anderen Azure-Webanwendung hinzufügt, jedoch nur im selben Datencenter wie Sie. Im Wesentlichen müsste jemand versuchen, eine Domäne zu registrieren, die Sie besitzen UND die sich im selben Datencenter (Azure-Region) befindet, damit dieser Schutz hilfreich ist. Aus DNS-Sicht macht es wenig Sinn, da ich www.microsoft.com hinzufügen und auf jedem Webserver, den ich besitze, eine gefälschte Webseite einrichten kann. Wenn ich jedoch keinen Zugriff habe, um den DNS-Eintrag zu ändern, bedeutet dies nichts. Sicher, ich könnte dies mit einem nicht autorisierten DNS-Server auf einem nicht autorisierten Zugriffspunkt tun, aber wofür benötige ich in diesem Fall eine Azure-Webanwendung? Ich kann eine VM hochfahren und die Einschränkung trotzdem umgehen. Es macht für mich wirklich keinen Sinn und ist wirklich nur ein Ärger, wenn es darum geht, eine neue Site hinzuzufügen. Der Vorgang, der einige Minuten dauert, setzt jetzt auf DNS, bevor ich einer Webanwendung überhaupt eine Domain hinzufügen kann. Dies ist im Allgemeinen für neue Domains in Ordnung, aber wenn ich eine vorhandene Domain habe, ist das ein Schmerz. Ich muss diesen anderen DNS-Eintrag erstellen, ihn dann löschen, nachdem ich meine Domain zu meiner Webanwendung hinzugefügt habe, und dann den DNS-Eintrag ändern, den ich tatsächlich ändern möchte. Hier ist die Antwort von Microsoft, warum: Ändern Sie dann den DNS-Eintrag, den ich tatsächlich ändern möchte. Hier ist die Antwort von Microsoft, warum: Ändern Sie dann den DNS-Eintrag, den ich tatsächlich ändern möchte. Hier ist die Antwort von Microsoft, warum:
In Anbetracht dieses Szenarios besteht die Sicherheitsbedenken darin, dass Sie Ihre Domain aufgrund von Konflikten nicht erneut hinzufügen können, wenn jemand Ihre Domain zu seiner App hinzufügen kann, bevor Sie dies zu Ihrer Web-App tun können, da Azure-Web-Apps dieselbe gemeinsam nutzen Front-End-Server im selben Rechenzentrum. Daher muss jede Domain / Subdomain überprüft werden, bevor sie einer Web-App zugewiesen wird. Wenn wir Websites auf einer virtuellen Maschine hosten, gibt es keine Einschränkungen.
quelle