web-dev-qa-db-fra.com

Un enregistrement DNS générique est-il une mauvaise pratique?

J'ai demandé à mon hébergeur d'ajouter trois sous-domaines pointant tous vers l'IP de l'enregistrement A. Il semble qu'il ait simplement ajouté un enregistrement DNS générique car tout sous-domaine aléatoire se résout maintenant à mon IP. Cela me convient d'un point de vue technique, car il n'y a pas de sous-domaines pointant ailleurs. Là encore, je n'aime pas qu'il ne fasse pas ce que j'ai demandé. Et donc je me demande s'il y a d'autres raisons de lui dire de changer cela. Y a-t-il?

Le seul point négatif que j'ai trouvé est que quelqu'un pourrait créer un lien vers mon site en utilisant http://i.dont.like.your.website.mywebsite.tld.

domain-name-systemsubdomainwildcard
19
problemofficer

Si vous mettez un ordinateur dans ce domaine, vous obtiendrez des échecs DNS bizarres, lorsque vous tenterez de visiter un site aléatoire sur Internet, vous arriverez à la place.

Considérez: vous êtes propriétaire du domaine example.com. Vous configurez votre poste de travail et le nommez. ... Disons, yukon.example.com. Vous remarquerez maintenant dans son /etc/resolv.conf il a la ligne:

search example.com

C'est pratique car cela signifie que vous pouvez effectuer des recherches de nom d'hôte, par exemple www qui recherchera alors www.example.com automatiquement pour vous. Mais il a un côté sombre: si vous visitez, disons, Google, il recherchera www.google.com.example.com, et si vous avez un DNS générique, cela se résoudra sur votre site, et au lieu d'atteindre Google, vous vous retrouverez sur votre propre site.

Cela s'applique également au serveur sur lequel vous exécutez votre site Web! S'il doit appeler des services externes, les recherches de nom d'hôte peuvent échouer de la même manière. Donc api.Twitter.com par exemple devient soudainement api.Twitter.com.example.com, redirige directement vers votre site et, bien sûr, échoue.

C'est pourquoi je jamais utilise un DNS générique.

18
Michael Hampton

Un enregistrement DNS générique est-il une mauvaise pratique?

Personnellement, je n'aime pas ça. Surtout quand il y a des machines dans ce domaine. Les fautes de frappe ne sont pas contrôlées, les erreurs sont moins évidentes ... mais il n'y a rien de fondamentalement mauvais avec ça.

Le seul point négatif que j'ai trouvé est que quelqu'un pourrait créer un lien vers mon site en utilisant http: //i.dont.like.your.website.mywebsite.tld .

Demandez à votre serveur http de rediriger toutes ces demandes vers les adresses canoniques appropriées ou de ne pas répondre du tout. Pour nginx, ce serait quelque chose comme :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

puis le régulier

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }
15
Damn Terminal

C'est une question d'opinion. Pour moi, ce n'est pas une mauvaise pratique.

Je crée une application multi-locataire qui utilise une base de données par locataire. Il sélectionne ensuite la base de données à utiliser en fonction du sous-domaine.

Par exemple milkman.example.com utilisera le tenant_milkman base de données.

Comme ça, j'ai des tables séparées pour chaque locataire, comme, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, qui, à mon avis, est beaucoup plus facile à gérer pour cette application spécifique, au lieu d'avoir tous les utilisateurs de toutes les entreprises dans le même tableau.

[edit - Michael Hampton has a good point]

Cela étant dit, si vous ne pas avez une raison spécifique d'accepter un sous-domaine (variable), comme moi, alors vous ne devriez pas les accepter.

7
Pedro Moreira

Un autre problème ici est le SEO: si tout *.example.com affichant le même contenu, votre site Web sera mal référencé, au moins par Google ( https://support.google.com/webmasters/answer/66359 ).

2
Clément Moulin - SimpleRezo

Je sais que c'est une vieille question, mais je voudrais partager un exemple réel où l'utilisation de domaines génériques peut causer des problèmes. Je vais cependant changer le nom de domaine et cacher également l'enregistrement SPF complet pour éviter l'embarras.

J'aidais quelqu'un qui avait des problèmes avec DMARC, dans le cadre des vérifications, je recherche toujours le dossier DMARC avec Dig

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

J'ai également obtenu le même résultat en recherchant leur record DKIM.

Par conséquent, les e-mails envoyés à partir de ce domaine obtiendront un échec DKIM car le module DKIM essaiera d'analyser l'enregistrement SPF pour une clé DKIM et échouera, et obtiendra également un Permerror pour DMARC pour la même raison.

Les domaines génériques peuvent sembler une bonne idée, mais s'ils sont mal configurés, ils peuvent provoquer toutes sortes de problèmes.

0
Ravenstar68

C'est vraiment une mauvaise idée, supposons que si vous souhaitez héberger un sous-domaine a.company.com dans un serveur Web, et b.company.com dans un autre serveur Web, peut être un autre FAI. Que vas tu faire ?. Le DNS générique n'est donc pas une option, il doit être précis, créer un enregistrement pour chaque sous-domaine et pointer vers l'IP pertinente. Il y a des chances de déplacer votre serveur Web d'un FAI à un autre FAI, dans ce cas, que ferez-vous?

0
vembutech