Des complications d'enregistrement de cartes CNAME?

2

Nous utilisons donc Route53 et je voulais configurer un enregistrement CNAME générique pour rediriger tous les sous-domaines non appariés vers notre domaine principal. J'ai essayé et tout semble fonctionner, mais quand j'en ai parlé à un collègue, il était catégoriquement contre les enregistrements CNAME génériques, affirmant qu'il y avait des problèmes / des problèmes de sécurité ou quelque chose du genre, mais sans entrer dans les détails. Une recherche sur le Web n'a pas vraiment fourni d'explication à ce problème, si ce n'est des problèmes isolés de la mise en œuvre de serveurs DNS spécifiques.

Cela dit, existe-t-il des problèmes de sécurité avec les enregistrements CNAME génériques? Existe-t-il des problèmes avec les certificats SSL si vous ne possédez qu'un certificat pour votre domaine de premier niveau? C'est-à-dire qu'une redirection CNAME signifie-t-elle que le référent vu par le serveur sera le sous-domaine ou le domaine de premier niveau? Qu'en est-il des problèmes d'origine croisée?

Il a en particulier préféré passer par la difficulté de configurer un serveur dans le sous-domaine qui effectue une redirection permanente 301. Cela semble trop complexe lorsque les RFC DNS 1034 et 2672 décrivent un mécanisme pour cela et que Route53 semble le supporter parfaitement.

Si certains recommandent explicitement de ne pas définir d'enregistrements CNAME génériques, pouvez-vous expliquer pourquoi et dans quelles circonstances vous le déconseillez?

Andrew De Andrade
la source
2
Quiconque ne peut pas expliquer de quoi il parle ne sait probablement pas de quoi il parle et ne fait que répéter quelque chose qu'il a entendu et qu'il n'a probablement pas compris. Sans source originale ni sauvegarde, ignorez-la. (Ou, au mieux, utilisez-le pour rechercher une source originale avec une sorte de défense technique de la position. En l'état, vous ne savez même pas quelle est réellement la position.)
David Schwartz Le

Réponses:

1

Il n'y a pas de tels problèmes de sécurité.

Je dois toutefois souligner que DNS ne fournit aucun mécanisme pour "rediriger" en soi les demandes; un CNAME définit un alias pour un autre nom DNS, mais un serveur HTTP est nécessaire pour "rediriger" le navigateur - sinon, un utilisateur qui visite whatever.example.comverra toujours whatever.example.comdans la barre d'adresse de son navigateur, et non example.comcomme une "redirection" en tant que telle. Le serveur Web verrait également whatever.example.comdans la demande, ce qui peut poser des problèmes si vous utilisez des hôtes virtuels.

Pour ne rien dire, il n'y a en réalité que deux cas où des enregistrements DNS génériques peuvent causer des problèmes:

  1. Vous ne pouvez pas fournir de réponses NXDOMAIN, car chaque sous-domaine existe. c'est seulement un problème si vous utilisez DNSSEC, et même alors, cela n'a généralement pas d'importance.
  2. SSL ne peut protéger que le domaine pour lequel il a été créé. Toutefois, un certificat SSL générique, comme vous l'avez mentionné, élimine ce problème.

Dans votre cas (d'après ce que j'ai compris de votre question), j'utiliserais probablement un enregistrement générique avec un serveur Web fournissant une redirection 301 vers mon adresse "correcte"; certains fournisseurs DNS rendent cela pratique avec un "redirecteur Web", sachez que techniquement, il s'agit d'un serveur Web indépendant de votre volonté qui répond à ces demandes par une redirection 301. (Le phrasé de cela peut sembler effrayant, mais si c'est une entreprise de confiance, il n'y a rien à craindre, et si ce n'est pas une entreprise de confiance, vous ne devriez pas avoir votre DNS hébergé chez eux en premier lieu !!)

Kromey
la source
Donc, tant que le serveur situé à l’autre extrémité du premier niveau d’un enregistrement effectue une redirection 301 lorsque l’origine de la demande ne correspond pas au domaine du certificat, il ne devrait y avoir aucun problème, correct?
Andrew De Andrade
1
C'est certainement une façon de s'y prendre, et si vous ne servez pas d'autres hôtes virtuels à partir de ce serveur, cela ne devrait poser aucun problème. En fait, même si vous le faites, si vous effectuez la redirection à partir du serveur hôte "par défaut", vous pouvez en fait le "remplacer" pour tout nom d’hôte arbitraire - alors, oui, je pense bien que oui.
Kromey
En outre, un enregistrement CNAME générique ne protégerait-il pas également contre le détournement de NXDOMAIN par des fournisseurs de services Internet moins scrupuleux? Pouvez-vous élaborer un peu sur le problème NXDOMAIN avec DNSSEC, puisque je ne suis pas familier avec DNSSEC.
Andrew De Andrade
Oui, cela éviterait le détournement de NXDOMAIN, bien que cela ne concerne que les sous-domaines de votre domaine. Le problème en ce qui concerne DNSSEC est qu’il est supposé être capable de fournir non seulement une authentification des réponses, mais également des "non-réponses" authentifiées, c’est-à-dire des réponses NXDOMAIN signées. En pratique, je ne peux penser à aucun cas où cela aurait réellement de l'importance, mais je suis toujours un peu hésitant en sortant du cahier des charges. En d'autres termes, la "vraie" réponse est très probablement "peu importe, point final", mais comme la spécification appelle NXDOMAIN authentifié, je ne suis pas disposé à le dire carrément.
Kromey
1
Nan. Si le client effectue une demande HTTPS et que vous ne disposez pas d'un certificat valide pour ce domaine, vous n'avez que deux choix: erreur de certificat SSL ou aucune réponse. Après l’erreur de cert, vous pouvez bien sûr rediriger tout ce que vous voulez, mais à moins de vous procurer un cert valide, il n’ya aucun moyen de contourner cette erreur.
Kromey
1

J'utilise des wildcards depuis des années et je n'ai jamais eu de problèmes avec ça. Jusqu'ici, j'ai découvert qu'un téléphone Windows Mobile en 2003 était le seul appareil qui ne gérait pas correctement le caractère générique.

À mon humble avis, l'utilisation de caractères génériques est très courante aujourd'hui et les problèmes ne se posent que rarement. Du point de vue de la sécurité, vous obtenez quelques vecteurs d'attaque supplémentaires. Vous pouvez par exemple vous référer à "someevilXSScode.yourdomain.com" et accéder toujours au site d'origine. Seul un problème mineur à mon humble avis.

fr00tyl00p
la source
Pouvez-vous donner un exemple ou une explication plus détaillée de l'exemple de code XSS diabolique?
Andrew De Andrade
L'idée de base est que vous avez une partie "personnalisable" dans votre domaine. Pensez au référant qui peut être inclus dans une autre page. Ou bien l'URL d'appel peut être traitée dans un script PHP. Juste deviner ...
fr00tyl00p