Domain-Name-System
為什麼需要 Azure 的 awverify CNAME 記錄?
請參閱即:如何設置 CNAME 以指向 Azure
或 azure 門戶中的文本:
為什麼這首先是必要的?為什麼通過 A 記錄 指向域名並不能證明我是該域的所有者?
我的意思是..你怎麼能首先更改 DNS 記錄?
該規則防止了哪些濫用行為?
如果您可以控制電腦的 DNS 查找,或者能夠注入主機記錄,那麼您可以欺騙該電腦的 A 記錄並將其指向 Azure 網站(實際上沒有什麼可以阻止您為 VM 執行此操作儘管)
通過讓您創建一個 cname 記錄並獨立驗證它(通過他們的內部/公共 DNS 系統),這意味著您確實可以控制該域,並且您不會欺騙他人的域。
為了證明對域的控制,您需要將一些資訊放在域的 DNS 記錄中,這將辨識您的 Azure 帳戶。
此類資訊可以嵌入 CNAME 指向的域名中。我希望您的文章中省略的域部分可以辨識您的特定 Azure 帳戶。
您實際上不需要對該名稱保密。畢竟,一旦您將其放入 DNS 記錄中,它將是公開可見的。
他們不能對 A 記錄做同樣的事情的原因是 A 記錄中沒有足夠的熵來實現相同的安全性。
這並不意味著 CNAME 是他們可以使用的唯一方法。其他可能有效的方法包括:
- TXT 記錄
- AAAA 記錄
- 多條 A 記錄
就我個人而言,我認為驗證者隨機生成的子域上的 TXT 記錄是最好的方法,因為它的侵入性最小。但這似乎在您的情況下不受支持。