Un record DNS jolly è una cattiva pratica?

Ho chiesto al mio hoster di aggiungere tre sottodomini tutti che puntano all'IP del record A. Sembra che abbia semplicemente aggiunto un record DNS jolly perché qualsiasi sottodominio casuale si risolve nel mio IP ora. Questo va bene per me dal punto di vista tecnico, dal momento che non ci sono sottodomini che puntino altrove. Poi di nuovo non mi piace che non faccia quello che ho chiesto. E quindi mi chiedo se ci sono altri motivi per dirgli di cambiarlo. Ci sono?

L'unico aspetto negativo che ho riscontrato è che qualcuno potrebbe collegarsi al mio sito utilizzando http://i.dont.like.your.website.mywebsite.tld.

Se metti mai un computer in quel dominio, otterrai bizzarri fallimenti DNS, quando invece provi a visitare qualche sito casuale su Internet, arrivi al tuo.

Considera: sei il proprietario del dominio example.com. Configurare la workstation e denominarla. ... diciamo di let, yukon.example.com. Ora noterai /etc/resolv.confche ha la linea:

search example.com

Questo è utile perché significa che puoi fare ricerche per nome host, ad es. wwwChe poi cercherà www.example.comautomaticamente te. Ma ha un lato oscuro: se visiti, diciamo, Google, allora cercherà www.google.com.example.com, e se hai DNS con caratteri jolly, questo si risolverà sul tuo sito e invece di raggiungere Google ti ritroverai sul tuo sito.

Questo vale anche per il server su cui stai eseguendo il tuo sito web! Se mai deve chiamare servizi esterni, le ricerche del nome host possono fallire allo stesso modo. Quindi, api.twitter.comad esempio, all'improvviso diventa api.twitter.com.example.com, ritorna direttamente al tuo sito e, naturalmente, fallisce.

Questo è il motivo per cui non utilizzo mai i caratteri jolly DNS.

Un record DNS jolly è una cattiva pratica?

Personalmente, non mi piace. Soprattutto quando ci sono macchine in quel dominio. I Typos non vengono controllati, gli errori sono meno evidenti ... ma non c'è nulla di fondamentalmente sbagliato in esso.

L'unico aspetto negativo che ho riscontrato è che qualcuno potrebbe collegarsi al mio sito utilizzando http: //i.dont.like.your.website.mywebsite.tld .

Chiedi al tuo server http di reindirizzare tutte queste richieste agli indirizzi canonici corretti o di non rispondere affatto. Per nginx sarebbe qualcosa del tipo :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

e poi il normale

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

È tutta una questione di opinione. Per me non è una cattiva pratica.

Sto creando un'app multi-tenant che utilizza un database per tenant. Seleziona quindi il database da utilizzare in base al sottodominio.

Ad esempio milkman.example.comutilizzerà il tenant_milkmandatabase.

Ti piace questa ho separato le tabelle per ogni inquilino, come, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, che a mio parere è molto più facile da mantenere enorme per questa specifica applicazione, invece di avere tutti gli utenti da tutte le aziende nella stessa tabella.

[edit - Michael Hampton has a good point]

Detto questo, se non hai un motivo specifico per accettare un sottodominio (variabile), come faccio io, non dovresti accettarli.

Un altro problema qui è il SEO: se tutti *.example.commostrano lo stesso contenuto, il tuo sito Web sarà mal referenziato, almeno da Google ( https://support.google.com/webmasters/answer/66359 ).

Questa è davvero una cattiva idea, supponiamo che se si desidera ospitare un sottodominio a.company.com in un server Web e b.company.com in un altro server Web, potrebbe essere un altro ISP. Cosa farai ?. Quindi il DNS con caratteri jolly non è un'opzione, dovrebbe essere preciso, creare un record per ciascun sottodominio e puntare all'IP pertinente. Ci sono possibilità di spostare il tuo server Web da un ISP a un altro ISP, in questo caso cosa farai?

So che questa è una vecchia domanda, tuttavia mi piacerebbe condividere un esempio reale di dove l'uso di domini jolly può causare problemi. Ho comunque intenzione di cambiare il nome del dominio e anche nascondere l'intero record SPF per salvare l'imbarazzo.

Stavo aiutando qualcuno che stava avendo problemi con DMARC, come parte dei controlli cerco sempre il record DMARC con DIG

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Ho anche ottenuto lo stesso risultato quando cercavo il loro record DKIM.

Di conseguenza, le e-mail inviate da questo dominio avranno un errore DKIM poiché il modulo DKIM proverà ad analizzare il record SPF per una chiave DKIM e avrà esito negativo e otterrà anche un Permerror per DMARC per lo stesso motivo.

I domini jolly possono sembrare una buona idea, ma impostati erroneamente possono causare problemi di ogni genere.

Un record DNS jolly è una cattiva pratica?

No, e contrariamente ad altri credo che sia una buona pratica.

La maggior parte degli utenti di Internet ingrassa un nome DNS a un certo punto. Digiteranno ww.mycompany.como wwe.mycompany.com cosa preferiresti che accadesse un "oops non siamo riusciti a trovare quel sito" o per loro di aprire la tua home page principale? Il più delle volte è preferibile non farli aprire la home page principale. Questo è ciò che fanno MOLTE persone.

Anche se qualcuno inserisse un link ad i.dont.like.your.website.whatever.comesso rimanderebbe comunque alla tua home page, che in realtà è quello che vuoi. Dopotutto, non possono fare in modo che quel i.dont....sito vada sul loro server, tu controlli comunque il routing DNS in modo che vada al tuo.

Penso che il motivo migliore per non avere un record DNS con caratteri jolly sia innanzitutto quello di evitare di distribuire l'indirizzo IP del server a un potenziale aggressore e ridurre l'esposizione agli attacchi DDOS. Questo è consigliato anche da Cloudflare: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/