Apakah catatan wildcard DNS praktik buruk?

Saya meminta hoster saya untuk menambahkan tiga subdomain yang semuanya menunjuk ke IP dari catatan A. Tampaknya ia hanya menambahkan catatan DNS wildcard karena subdomain acak apa pun yang menyelesaikan IP saya sekarang. Ini tidak masalah bagi saya dari sudut pandang teknis, karena tidak ada subdomain yang menunjuk ke tempat lain. Kemudian lagi saya tidak suka dia tidak melakukan apa yang saya minta. Jadi saya bertanya-tanya apakah ada alasan lain untuk menyuruhnya mengubahnya. Apakah ada?

Satu-satunya negatif yang saya temukan adalah seseorang dapat menautkan ke situs saya menggunakan http://i.dont.like.your.website.mywebsite.tld.

Jika Anda pernah meletakkan komputer di domain itu, Anda akan mendapatkan kegagalan DNS yang aneh, di mana ketika Anda mencoba untuk mengunjungi beberapa situs acak di Internet, Anda tiba di milik Anda.

Pertimbangkan: Anda memiliki domain example.com. Anda mengatur workstation Anda dan beri nama. ... katakanlah yukon.example.com,. Sekarang Anda akan melihat di /etc/resolv.confdalamnya ada baris:

search example.com

Ini nyaman karena itu berarti Anda dapat melakukan pencarian nama host, misalnya wwwyang kemudian akan mencari Anda www.example.comsecara otomatis. Tetapi memiliki sisi gelap: Jika Anda mengunjungi, katakanlah, Google, maka ia akan mencari www.google.com.example.com, dan jika Anda memiliki DNS wildcard, maka itu akan menyelesaikan ke situs Anda, dan alih-alih mencapai Google Anda akan berakhir di situs Anda sendiri.

Ini berlaku sama untuk server tempat Anda menjalankan situs web Anda! Jika harus memanggil layanan eksternal, maka pencarian nama host dapat gagal dengan cara yang sama. Jadi api.twitter.commisalnya tiba-tiba menjadi api.twitter.com.example.com, rute langsung kembali ke situs Anda, dan tentu saja gagal.

Inilah sebabnya saya tidak pernah menggunakan wildcard DNS.

Apakah catatan wildcard DNS praktik buruk?

Secara pribadi, saya tidak suka itu. Terutama ketika ada mesin di domain itu. Kesalahan ketik tidak dicentang, kesalahannya tidak terlalu jelas ... tetapi pada dasarnya tidak ada yang salah.

Satu-satunya negatif yang saya temukan adalah seseorang dapat menautkan ke situs saya menggunakan http: //i.dont.like.your.website.mywebsite.tld .

Minta server http Anda mengarahkan semua permintaan seperti itu ke alamat kanonik yang benar, atau tidak merespons sama sekali. Untuk nginx akan seperti :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

dan kemudian reguler

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Itu semua masalah pendapat. Bagi saya itu bukan praktik yang buruk.

Saya membuat aplikasi multi-penyewa yang menggunakan basis data per penyewa. Itu kemudian memilih database yang akan digunakan berdasarkan subdomain.

Misalnya milkman.example.comakan menggunakan tenant_milkmandatabase.

Seperti ini saya telah memisahkan tabel untuk setiap penyewa, seperti, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, yang menurut saya adalah banyak besar lebih mudah untuk mempertahankan untuk aplikasi tertentu, bukan memiliki semua pengguna dari seluruh perusahaan di meja yang sama.

[edit - Michael Hampton has a good point]

Yang sedang berkata, jika Anda tidak memiliki alasan khusus untuk menerima subdomain (variabel), seperti yang saya lakukan, maka Anda tidak boleh menerimanya.

Masalah lain di sini adalah SEO: jika semua *.example.commenampilkan konten yang sama, situs web Anda akan dirujuk dengan buruk, setidaknya oleh Google ( https://support.google.com/webmasters/answer/66359 ).

Ini benar-benar ide yang buruk, misalkan jika Anda ingin meng-host satu subdomain a.company.com di satu server web, dan b.company.com di server web lain, mungkin ISP lain. Apa yang akan kamu lakukan ?. Jadi wildcard DNS bukanlah suatu pilihan, itu harus tepat, membuat catatan untuk setiap sub domain dan menunjuk ke IP yang relevan. Kemungkinan ada untuk memindahkan server web Anda dari satu ISP ke ISP lain, dalam hal ini apa yang akan Anda lakukan?

Saya tahu ini adalah pertanyaan lama, namun saya ingin membagikan contoh dunia nyata di mana menggunakan domain wildcard dapat menyebabkan masalah. Namun saya akan mengubah nama domain dan juga menyembunyikan catatan SPF penuh untuk menyimpan rasa malu.

Saya membantu seseorang yang mengalami masalah dengan DMARC, sebagai bagian dari pemeriksaan saya selalu mencari catatan DMARC dengan DIG

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Saya juga mendapat hasil yang sama ketika mencari catatan DKIM mereka.

Akibatnya email yang dikirim dari domain ini akan mendapatkan DKIM gagal karena modul DKIM akan mencoba menguraikan catatan SPF untuk kunci DKIM dan gagal, dan juga akan mendapatkan Permerror untuk DMARC karena alasan yang sama.

Wildcard domain mungkin tampak seperti ide yang bagus tetapi mengaturnya secara salah mereka dapat menyebabkan segala macam masalah.

Apakah catatan wildcard DNS praktik buruk?

Tidak, dan bertentangan dengan yang lain, saya percaya ini adalah praktik yang baik.

Sebagian besar pengguna internet memalsukan nama DNS di beberapa titik. Mereka akan mengetik ww.mycompany.comatau wwe.mycompany.com Apa yang Anda inginkan terjadi "oops kami tidak dapat menemukan situs itu" atau bagi mereka untuk menarik halaman utama Anda? Lebih sering daripada tidak memiliki mereka menarik halaman utama Anda lebih disukai. Itulah yang BANYAK orang lakukan.

Bahkan jika seseorang menaruh tautan ke i.dont.like.your.website.whatever.comsana akan tetap membuka beranda Anda , yang sebenarnya Anda inginkan. Lagi pula, mereka tidak dapat membuat i.dont....situs tersebut masuk ke server mereka, Anda masih mengontrol perutean DNS sehingga masuk ke Anda.

Saya pikir alasan terbaik untuk tidak memiliki catatan DNS wildcard di tempat pertama adalah untuk menghindari memberikan alamat IP server Anda ke penyerang potensial dan mengurangi paparan terhadap serangan DDOS. Ini juga direkomendasikan pengaturan oleh Cloudflare: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/