使用DNS CName安全

% dig www.google.com a ; <<>> DiG 9.6.1-P1-RedHat-9.6.1-6.P1.fc11 <<>> www.google.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8426 ;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;www.google.com. IN A ;; ANSWER SECTION: www.google.com. 532778 IN CNAME www.l.google.com. 

等等….

如果Google足够好，对任何人来说都是足够好的。

当然，如果CNAME的目标超出你的区域，那么这是你不能控制的信息。 但是如果左侧和右侧都在你自己的领域，那完全没有风险！

我会说这是不正确的，除非指出有好的信息certificate否则。

如果您的CNAME指的是不受自己控制的区域，那么就有潜在的问题，因为它们可能意外地改变了最终结果，但这是一个完全正常的“你相信第三方吗？ 问题而不是DNS特定的问题。

如果我是你，我会问你的DNSpipe理员，如果他有任何信息，你可以阅读他关心的问题 – 只要确保请求听起来像你正在试图学习的东西，而不是试图certificate他是错的。 如果他给你一个很好的答案，请在这里张贴，这样我们也可以受到教育！

这是FUD。 如前所述，CNAME不如Alogging安全的唯一方法是指向不受控制的第三方域。 如果它引用同一个域中的另一条logging，那就完全没问题了。

他可能会感到困惑，因为某些types的logging（如MX条目！）不允许指向CNAME，他们必须根据RFC指向Alogging。 但是，这不是一个安全问题，更多的是“你可能不会收到由RFC严格MTA发送的电子邮件”问题。

Google使用表格来标记自己的网页。 这不是因为它对任何人都有好处，那是因为他们想要支持其他浏览器。

CNAME大多使用错误的方式。 但是，这当然不是一个安全问题。 CNAME到其他域也不是一个安全问题。 这就像说302redirect的OpenID身份validation是一个安全问题。 如果你把东西放入DNSlogging值，那么你对你做的事情负责。 也许你真的打算把另一个域名。 没有安全问题。

这是一个语义（宗教，如果你想）的问题。 CNAMElogging旨在成为一组其他名称的“规范名称”。 请参阅http://tools.ietf.org/html/rfc1034第14页。即您有www.dom.tld，www1.dom.tld等。所有这些名称都有Alogging，IPv4地址的别名。 现在你添加一个www CNAME www1logging，这意味着两个别名，www一个是规范的，主要的。 这种机制可以用来告诉，即search引擎爬虫您的名字是别名，哪些是主要的。 但是，取而代之的是，他们根据自己的习惯使用了301个来自www.dom.tld的redirect到dom.tld，反之亦然。

我不告诉别人不要使用CNAME作为别名。 它工作，为什么不。 它这样工作了很多年，也许这是新的事实，就像系统必须随着时间的推移等等。

对于没有被禁止的logging引用的地址logging，如NS或MXlogging，它们都没有问题。 但是，如果他们跨越某个区域（即使是您所控制的区域），我将会小心谨慎，因为这样会需要额外的DNS查询来parsing名称的目标。