Des complications d'enregistrement de cartes CNAME?

Nous utilisons donc Route53 et je voulais configurer un enregistrement CNAME générique pour rediriger tous les sous-domaines non appariés vers notre domaine principal. J'ai essayé et tout semble fonctionner, mais quand j'en ai parlé à un collègue, il était catégoriquement contre les enregistrements CNAME génériques, affirmant qu'il y avait des problèmes / des problèmes de sécurité ou quelque chose du genre, mais sans entrer dans les détails. Une recherche sur le Web n'a pas vraiment fourni d'explication à ce problème, si ce n'est des problèmes isolés de la mise en œuvre de serveurs DNS spécifiques.

Cela dit, existe-t-il des problèmes de sécurité avec les enregistrements CNAME génériques? Existe-t-il des problèmes avec les certificats SSL si vous ne possédez qu'un certificat pour votre domaine de premier niveau? C'est-à-dire qu'une redirection CNAME signifie-t-elle que le référent vu par le serveur sera le sous-domaine ou le domaine de premier niveau? Qu'en est-il des problèmes d'origine croisée?

Il a en particulier préféré passer par la difficulté de configurer un serveur dans le sous-domaine qui effectue une redirection permanente 301. Cela semble trop complexe lorsque les RFC DNS 1034 et 2672 décrivent un mécanisme pour cela et que Route53 semble le supporter parfaitement.

Si certains recommandent explicitement de ne pas définir d'enregistrements CNAME génériques, pouvez-vous expliquer pourquoi et dans quelles circonstances vous le déconseillez?

Il n'y a pas de tels problèmes de sécurité.

Je dois toutefois souligner que DNS ne fournit aucun mécanisme pour "rediriger" en soi les demandes; un CNAME définit un alias pour un autre nom DNS, mais un serveur HTTP est nécessaire pour "rediriger" le navigateur - sinon, un utilisateur qui visite whatever.example.comverra toujours whatever.example.comdans la barre d'adresse de son navigateur, et non example.comcomme une "redirection" en tant que telle. Le serveur Web verrait également whatever.example.comdans la demande, ce qui peut poser des problèmes si vous utilisez des hôtes virtuels.

Pour ne rien dire, il n'y a en réalité que deux cas où des enregistrements DNS génériques peuvent causer des problèmes:

1. Vous ne pouvez pas fournir de réponses NXDOMAIN, car chaque sous-domaine existe. c'est seulement un problème si vous utilisez DNSSEC, et même alors, cela n'a généralement pas d'importance.
2. SSL ne peut protéger que le domaine pour lequel il a été créé. Toutefois, un certificat SSL générique, comme vous l'avez mentionné, élimine ce problème.

Dans votre cas (d'après ce que j'ai compris de votre question), j'utiliserais probablement un enregistrement générique avec un serveur Web fournissant une redirection 301 vers mon adresse "correcte"; certains fournisseurs DNS rendent cela pratique avec un "redirecteur Web", sachez que techniquement, il s'agit d'un serveur Web indépendant de votre volonté qui répond à ces demandes par une redirection 301. (Le phrasé de cela peut sembler effrayant, mais si c'est une entreprise de confiance, il n'y a rien à craindre, et si ce n'est pas une entreprise de confiance, vous ne devriez pas avoir votre DNS hébergé chez eux en premier lieu !!)

J'utilise des wildcards depuis des années et je n'ai jamais eu de problèmes avec ça. Jusqu'ici, j'ai découvert qu'un téléphone Windows Mobile en 2003 était le seul appareil qui ne gérait pas correctement le caractère générique.

À mon humble avis, l'utilisation de caractères génériques est très courante aujourd'hui et les problèmes ne se posent que rarement. Du point de vue de la sécurité, vous obtenez quelques vecteurs d'attaque supplémentaires. Vous pouvez par exemple vous référer à "someevilXSScode.yourdomain.com" et accéder toujours au site d'origine. Seul un problème mineur à mon humble avis.