Consulte ie: Cómo configurar CNAME para que apunte a Azure

o el texto dentro del portal azul:

Administrar texto de dominios personalizados

¿Por qué es esto necesario en primer lugar? ¿Por qué señalar el nombre de dominio a través de un registro A no prueba que soy el propietario del dominio?

Quiero decir ... ¿cómo se puede cambiar un registro DNS en primer lugar?

¿Qué abuso previene esta regla?

answer

Si tiene el control de una búsqueda de DNS para una computadora, o puede inyectar un registro de host, entonces podría falsificar un registro A para esa máquina y apuntarlo a un sitio web de Azure (en realidad, no hay nada que le impida hacer eso para una máquina virtual). aunque)

Al hacer que cree un registro cname y lo verifique de forma independiente (a través de su sistema DNS interno / público), significa que tiene control sobre el dominio y no está falsificando el dominio de otra persona.

Para demostrar el control del dominio, debe poner cierta información en un registro DNS en el dominio, que identificará su cuenta de Azure.

Dicha información se puede incrustar en el nombre de dominio al que apunta un CNAME. La parte del dominio que se omitió en su publicación esperaría identificar su cuenta de Azure particular.

En realidad, no es necesario mantener ese nombre en secreto. Después de todo, será visible públicamente una vez que lo coloque en un registro DNS.

La razón por la que no pudieron hacer lo mismo con un registro A es que no hay suficiente entropía en un registro A para lograr la misma seguridad.

Eso no significa que el CNAME sea el único método que podrían haber usado. Otros métodos que podrían haber funcionado incluyen:

  • Un registro TXT
  • Un récord AAAA
  • Múltiples registros A

Personalmente, considero que un registro TXT en un subdominio generado aleatoriamente por el verificador es el mejor método, ya que es el menos intrusivo. Pero eso parece no ser compatible en su caso.

Permítanme intentar responder a su pregunta proporcionando dos casos. En ambos casos, deberá verificar que es el propietario, es solo un paso de seguridad.

1) www.example.comno está siendo visitado y no está en producción

2) www.example.comestá actualmente en producción y se está utilizando mucho

1) Si su dominio se está configurando ahora o no está en producción / no se está accediendo, puede crear un registro CNAME que apunte a yoursite.azurewebsites.net. No es awverify.myhost.azurewebsites.netnecesario.

2) Si su dominio está en uso intensivo y se está accediendo actualmente, y desea probar para ver si Azure ve los cambios en sus registros DNS, puede crear un subdominio llamado ' awverify' como en awverify.example.comy señalarlo a un sub -dominio awverify.myhost.azurewebsites.net. Esto no afectará a los usuarios actuales que acceden a su sitio web www.example.com. Una vez que Azure verifica que ve el cambio en el CNAME, puede notificar a los usuarios sobre el mantenimiento y cambiar el registro A. Si solo cambia el registro A, el sitio puede verse como fuera de línea por hasta 8 horas.

Entonces, para responder a su pregunta de manera simple, no necesita usar awverify. El simple hecho de cambiar el CNAME también puede funcionar. Además, el simple hecho de cambiar el registro A redirigirá todo el tráfico de yourdomain.comayoursite.azurewebsites.net

Espero que esto ayude.

1) He configurado varios sitios en Azure y todos tienen la misma dirección IP en el registro A. No sé si la dirección IP del registro A también podría asignarse a otra cuenta, pero tal vez esa sea una posibilidad. Si es así, entonces uno podría secuestrar el sitio web de Azure de otra persona simplemente ingresando el dominio en el propio panel de control de Azure. Esto es solo una teoría, no sé si es remotamente posible.

2) Como se mencionó anteriormente, el registro CNAME es básicamente un registro inerte. No redirige el tráfico. Cuando migré un sitio grande y su certificado SSL, fue una bendición poder reclamar la propiedad con awsverify, configurar el dominio y el certificado SSL, y luego todo el código probado en Azure. Semanas más tarde, cambié el registro A para que saliera en vivo. El punto es que el registro A no se cambió hasta el momento de la puesta en marcha, semanas después de usar awsverify para validar la propiedad del dominio. Entonces, en mi caso fue útil.

No es que esté de acuerdo con esto, pero aquí está la respuesta que obtuve directamente de Microsoft. En resumen, evita que alguien agregue un dominio de su propiedad a otra aplicación web de Azure, pero solo en el mismo centro de datos que usted. Básicamente, alguien tendría que intentar registrar un dominio de su propiedad Y estar en el mismo centro de datos (región de Azure) para que esta protección sea útil. Desde una perspectiva de DNS, tiene poco sentido, ya que puedo agregar www.microsoft.com y poner una página web falsa en cada servidor web que poseo, pero si no tengo acceso para cambiar el registro de DNS, no significa nada. Claro que podría hacer esto con un servidor DNS no autorizado en un punto de acceso no autorizado, pero ¿para qué necesito una aplicación web de Azure en ese caso? Puedo activar una máquina virtual y evitar la restricción de todos modos.Realmente no tiene sentido para mí y es realmente una molestia cada vez que llega el momento de agregar un nuevo sitio. El proceso que lleva unos minutos ahora depende del DNS antes de que pueda AGREGAR un dominio a una aplicación web. Esto generalmente está bien para dominios nuevos, pero si tengo un dominio existente, es una molestia. Tengo que crear este otro registro DNS, luego eliminarlo después de agregar mi dominio a mi aplicación web, luego modificar el registro DNS que realmente quiero cambiar. De todos modos, aquí está la respuesta de Microsoft sobre por qué:luego modifique el registro DNS que realmente quiero cambiar. De todos modos, aquí está la respuesta de Microsoft sobre por qué:luego modifique el registro DNS que realmente quiero cambiar. De todos modos, aquí está la respuesta de Microsoft sobre por qué:

El problema de seguridad es, considerando este escenario, si le permite a alguien agregar su dominio a su aplicación antes de que usted pueda hacerlo en su aplicación web, entonces no podrá agregar su dominio nuevamente debido a un conflicto porque las aplicaciones web de Azure comparten lo mismo. servidores front-end dentro del mismo centro de datos. Por lo tanto, debe verificar cada dominio / subdominio antes de asignarlo a una aplicación web. Si alojamos sitios web en una máquina virtual, no habrá ninguna restricción.