Domain-Name-System

為什麼需要 Azure 的 awverify CNAME 記錄?

  • April 11, 2017

請參閱即:如何設置 CNAME 以指向 Azure

或 azure 門戶中的文本:

管理自定義域文本

為什麼這首先是必要的?為什麼通過 A 記錄 指向域名並不能證明我是該域的所有者?

我的意思是..你怎麼能首先更改 DNS 記錄?

該規則防止了哪些濫用行為?

如果您可以控制電腦的 DNS 查找,或者能夠注入主機記錄,那麼您可以欺騙該電腦的 A 記錄並將其指向 Azure 網站(實際上沒有什麼可以阻止您為 VM 執行此操作儘管)

通過讓您創建一個 cname 記錄並獨立驗證它(通過他們的內部/公共 DNS 系統),這意味著您確實可以控制該域,並且您不會欺騙他人的域。

為了證明對域的控制,您需要將一些資訊放在域的 DNS 記錄中,這將辨識您的 Azure 帳戶。

此類資訊可以嵌入 CNAME 指向的域名中。我希望您的文章中省略的域部分可以辨識您的特定 Azure 帳戶。

您實際上不需要對該名稱保密。畢竟,一旦您將其放入 DNS 記錄中,它將是公開可見的。

他們不能對 A 記錄做同樣的事情的原因是 A 記錄中沒有足夠的熵來實現相同的安全性。

這並不意味著 CNAME 是他們可以使用的唯一方法。其他可能有效的方法包括:

  • TXT 記錄
  • AAAA 記錄
  • 多條 A 記錄

就我個人而言,我認為驗證者隨機生成的子域上的 TXT 記錄是最好的方法,因為它的侵入性最小。但這似乎在您的情況下不受支持。

引用自:https://serverfault.com/questions/718503