web-dev-qa-db-ja.com

Azureにawverify CNAMEレコードが必要なのはなぜですか?

参照してください: Azureを指すようにCNAMEを設定する方法

またはAzureポータル内のテキスト:

Manage custom domains text

そもそもなぜこれが必要なのですか? Aレコードを通じてドメイン名をポイントするのはなぜですかではありません私がドメインの所有者であることを証明していません?

つまり、そもそもそもそもDNSレコードを変更するにはどうすればよいのでしょうか。

この規則はどのような乱用を防ぎますか?

domain-name-systemsecurityazure
7
Dirk Boer

コンピューターのDNSルックアップを制御できる場合、またはホストレコードを挿入できる場合は、そのマシンのAレコードを偽装し、それをAzure Webサイトにポイントすることができます(実際に= VMただし)

Cnameレコードを作成し、それを(内部/パブリックDNSシステムを介して)個別に検証することで、ドメインを制御でき、他人のドメインを偽装することがなくなります。

6
Michael B

2つのケースを提供することで、あなたの質問に答えてみましょう。どちらの場合も、自分が所有者であることを確認する必要があります。これは単なるセキュリティ手順です。

1)www.example.comは訪問されておらず、本番環境にもありません。

2)www.example.comは現在量産中で、頻繁に使用されています

1)ドメインが設定中の場合、または本番環境にアクセスしていない場合は、yoursite.azurewebsites.netを指すCNAMEレコードを作成できます。 awverify.myhost.azurewebsites.netは不要です。

2)ドメインが頻繁に使用されており、現在アクセスされており、AzureがDNSレコードの変更を認識しているかどうかをテストする場合は、awverify.example.comのように「awverify」という名前のサブドメインを作成できます。作成したサブドメインawverify.myhost.azurewebsites.netをポイントします。これは、www.example.comにアクセスするWebサイトにアクセスしている現在のユーザーには影響しません。 AzureがCNAMEの変更を確認したことを確認したら、メンテナンスについてユーザーに通知し、Aレコードを変更できます。 Aレコードを変更しただけでは、サイトは最大8時間オフラインと見なされる可能性があります。

したがって、質問に簡単に答えるために、awverifyを使用する必要はありません。 CNAMEを変更するだけでも機能します。また、Aレコードを変更するだけで、すべてのトラフィックがyourdomain.comからyoursite.azurewebsites.netにリダイレクトされます

お役に立てれば。

2
Yudhistre

ドメインの制御を証明するには、ドメインのDNSレコードにいくつかの情報を入力する必要があります。これにより、Azureアカウントが識別されます。

このような情報は、CNAMEが指すドメイン名に埋め込むことができます。あなたの投稿から省略されたドメインの一部私はあなたの特定のAzureアカウントを識別すると期待します。

実際にその名前を秘密にしておく必要はありません。結局のところ、DNSレコードに入れると、一般に公開されます。

Aレコードで同じことができなかった理由は、同じセキュリティを実現するためにAレコードに十分なエントロピーがないためです。

これは、CNAMEが彼らが使用できる唯一の方法であるという意味ではありません。うまくいったかもしれない他の方法は以下を含みます:

  • A TXTレコード
  • AAAAレコード
  • 複数のAレコード

個人的には、検証が最もランダムな方法で生成したサブドメインのTXTレコードが邪魔にならないため、最善の方法であると考えています。しかし、あなたのケースではサポートされていないようです。

2
kasperd

1)Azureにいくつかのサイトをセットアップしましたが、Aレコードに同じIPアドレスがあります。 AレコードのIPアドレスが別のアカウントにも割り当てられている可能性があるかどうかはわかりませんが、それは可能性があります。その場合は、自分のAzureコントロールパネルにドメインを入力するだけで、他の人のAzure Webサイトをハイジャックできる可能性があります。これは単なる理論であり、リモートで可能かどうかはわかりません。

2)上記のように、CNAMEレコードは基本的に不活性なレコードです。トラフィックはリダイレクトされません。大規模なサイトとそのSSL証明書を移行したとき、awsverifyで所有権を主張し、ドメインとSSL証明書を構成してから、Azureですべてのコードをテストできるのは幸運でした。数週間後、私はAレコードをライブに変更しました。ポイントは、awsverifyを使用してドメインの所有権を検証してから数週間後の稼働開始時までAレコードが変更されなかったことです。それで、私の場合、それは役に立ちました。

0
Bill Clark

私がこれに同意するわけではありませんが、ここに私がマイクロソフトから直接得た答えがあります。つまり、自分が所有しているドメインを別のAzure Webアプリケーションに追加することはできませんが、自分と同じデータセンター内のみです。したがって、基本的には、この保護を有効にするには、所有しているドメインを同じデータセンター(Azureリージョン)に登録する必要があります。 DNSの観点からは、www.Microsoft.comを追加して自分が所有するすべてのWebサーバーに偽のWebページを表示できるため、ほとんど意味がありませんが、DNSレコードを変更するアクセス権がない場合は、何も意味しません。確かに、不正なアクセスポイントの不正なDNSサーバーを使用してこれを行うことはできますが、その場合、Azure Webアプリには何が必要ですか?私はVMをスピンアップして、とにかく制限をバイパスすることができます。それは本当に私には意味がなく、新しいサイトを追加するときはいつでも本当に煩わしいだけです。これで、ドメインをWebアプリケーションに追加するまで、数分でDNSに依存するようになりました。これは、通常、新しいドメインでは問題ありませんが、既存のドメインがある場合は面倒です。この他のDNSレコードを作成して削除する必要がありますドメインをWebアプリに追加してから、実際に変更したいDNSレコードを変更した後、とにかく、理由は次のとおりです。

セキュリティ上の懸念は、このシナリオを考えると、Webアプリに追加する前に誰かがアプリにドメインを追加することを許可している場合、Azure Webアプリが同じものを共有するため、競合のためドメインを再度追加することはできません。同じデータセンター内のフロントエンドサーバー。そのため、Webアプリに割り当てる前に、各ドメイン/サブドメインを検証する必要があります。仮想マシンでWebサイトをホストする場合、制限はありません。

0
DubStep