信頼されていないドメインのCNAMEレコードの使用を防止する

DNSはこれをサポートしていません。 CNAMEレコードの作成は完全に「ソース」ドメインで行われ、「ターゲット」にはまったくアクセスしないため、どのDNSプロバイダーを使用しても問題ありません。したがって、ドメインはany DNSレコードをanyデータで公開できます。

HTTP（S）、TLS-SNI、および仮想ホストをサポートするその他のプロトコルを処理するときにできる唯一のことは、サーバーが不明なvhostに対するすべての要求を確実に拒否することです。

誰かがあなたの電話番号に電話するように友人に言うのを防ぐことができる以上に、誰かがあなたのドメインを指すCNAMEレコードを作成するのを防ぐことはできません。

CNAMEレコードは、別の番号に電話するように伝える留守番電話に録音を残すようなものです。たとえば、555-1111に電話をかけると、「555-2222に電話して」というメッセージが表示されます。同様に、www.example.comのCNAMEレコードはwww.yourdomain.comを指すことができます。 DNSクライアントがwww.example.comを検索してCNAMEレコードを検出すると、最初にwww.yourdomain.comを検索しようとしているかのように、www.yourdomain.com...のDNS参照プロセスを再開します。 。

CNAMEレコードが作成されるドメインを制御しないため、CNAMEレコードとネイティブルックアップが原因で発生したドメインレコードのルックアップを区別できないため、CNAMEレコードがあなたを指すのを防ぐことはできません。誰かが自分の留守番電話にメッセージを残さず、代わりに発信者にあなたの番号に電話をかけるように指示することができます。