עודכן לפני חודש
דמיינו שאתם מפעילים אפליקציית SaaS שבה כל לקוח מקבל תת-דומיין משלו: acme.yourapp.com, techcorp.yourapp.com, startup47.yourapp.com. יש לכם 10,000 לקוחות. האם תיצרו 10,000 רשומות DNS?
אתם יוצרים אחת.
רשומת DNS עם תו כללי משתמשת בכוכבית (*) כדי להתאים לכל תת-דומיין שאין לו רשומה ספציפית משלו. בתחביר קובץ אזור DNS:
הכוכבית הזו תופסת הכל. כשמישהו מבקש anything.example.com, שרת ה-DNS בודק: האם ל-anything.example.com יש רשומה משלו? לא? אז התו הכללי עונה.
המודל המנטלי
תו כללי הוא מקרה ברירת מחדל — כמו ה-default בהצהרת switch או ה-else בסוף שרשרת תנאים. הוא מופעל רק כשאף דבר ספציפי יותר לא מתאים.
ברגע שרואים זאת כך, כללי ההתאמה הופכים מובנים מאליהם:
רשומות ספציפיות תמיד מנצחות. אם יש לכם גם *.example.com וגם app.example.com, שאילתות עבור app.example.com ישתמשו ברשומה הספציפית. התו הכללי לעולם לא מבטל תצורה מפורשת. (מקרה ה-default לא פועל כשמקרה אחר מתאים.)
תווים כלליים מתאימים לרמה אחת בדיוק. *.example.com מתאים ל-app.example.com אך לא ל-api.app.example.com. זה לא שרירותי — הוא משקף גבולות ארגוניים. תת-הדומיין שלכם הוא שלכם לחלק כרצונכם; דומיין האב לא תובע אוטומטית את תתי-הדומיינים המקוננים שלכם. אם אתם צריכים ללכוד את *.app.example.com, צרו את הרשומה הזו בנפרד.
תווים כלליים לא מתאימים לדומיין השורש. *.example.com מטפל בתתי-דומיינים, לא ב-example.com עצמו. דומיין השורש זקוק לרשומת A או AAAA משלו.
ההיררכיה הזו מאפשרת לכם לשכב רשומות ספציפיות מעל תווים כלליים. הפנו את www.example.com לאתר השיווק שלכם, את api.example.com לשרתי ה-API שלכם, ותנו ל-*.example.com לטפל בכל השאר.
למה זה חשוב
הקצאת תת-דומיינים מיידית
ללא תווים כלליים, יצירת תת-דומיין חדש ללקוח פירושה הוספת רשומת DNS והמתנה להפצה. עם תווים כלליים, שכבת ה-DNS כבר פתורה — תת-דומיין חדש עובד ברגע שהאפליקציה שלכם מזהה אותו.
סביבות פיתוח לפי דרישה
תו כללי עבור *.dev.example.com מאפשר למפתחים להפעיל feature-xyz.dev.example.com או experiment.dev.example.com מבלי לגעת ב-DNS כלל. לכל ענף יכול להיות תת-דומיין משלו.
תתי-דומיינים שנוצרו על ידי משתמשים
פלטפורמות בלוגים, אתרי תיק עבודות ובוני אתרים מאפשרים למשתמשים לתבוע תתי-דומיינים כמו yourname.platform.com. תווים כלליים הופכים את זה לאפשרי ללא תצורה ידנית עבור כל משתמש.
אישורי SSL עם תווים כלליים
DNS עם תווים כלליים ואישורי SSL עם תווים כלליים פועלים כצמד. אישור עבור *.example.com מאבטח כל תת-דומיין ברמה הראשונה באמצעות אישור יחיד.
המגבלות משקפות את אלו של תווי ה-DNS הכלליים:
- מכסה רק רמת תת-דומיין אחת
- לא מכסה את דומיין השורש (נכלל בדרך כלל דרך שמות חלופיים לנושא)
- דורש אימות מבוסס DNS — אתם מוכיחים בעלות על ידי יצירת רשומות TXT ספציפיות
הסכנות
תווים כלליים הם עוצמתיים. דברים עוצמתיים נשברים בצורות עוצמתיות.
השתלטות על תת-דומיין
זה הגדול מכולם. אם ה-CNAME עם התו הכללי שלכם מצביע לספק ענן ואתם מוציאים שירות משירות מבלי לנקות את ההפניה, תוקף יכול לתבוע את המשאב היתום הזה. הוא משרת כעת תוכן מתת-הדומיין שלכם — עם המוניטין של הדומיין שלכם ואמון המשתמשים שלכם.
הפתרון: השתמשו ברשומות ספציפיות עבור שירותים קריטיים, ובצעו ביקורת על התשתית שלכם באופן קבוע. מחיקת רשומות DNS צריכה להיות הצעד הראשון בעת הוצאת כל דבר משירות.
ניצול לרעה של דואר אלקטרוני
רשומות MX עם תווים כלליים מאפשרות לשולחי ספאם לשלוח דואר אלקטרוני מתתי-דומיינים שרירותיים של הדומיין שלכם. spam-campaign.yourdomain.com פוגע במוניטין הדומיין שלכם. רוב מנהלי הדואר האלקטרוני נמנעים לחלוטין מרשומות MX עם תווים כלליים.
שליטה על אישורים
השתמשו ברשומות CAA עם המאפיין issuewild כדי לציין אילו רשויות אישורים (CA) יכולות להנפיק אישורי תווים כלליים עבור הדומיין שלכם. ללא זאת, כל CA יכולה להנפיק אישור תווים כלליים לדומיין שלכם אם תוקף מצליח להוכיח שליטה בתת-דומיין כלשהו.
התקפות הגברה
כל שאילתת תת-דומיין מקבלת תגובה — דבר שניתן לנצל להתקפות הגברת DNS. הגבלת קצב והגנת DDoS הופכות חשובות יותר כשתווים כלליים בשימוש.
מתי להשתמש בתווים כלליים
השתמשו בתווים כלליים עבור:
- אפליקציות רב-שוכרות עם תתי-דומיינים של לקוחות
- סביבות פיתוח ובדיקה
- פלטפורמות תוכן שנוצר על ידי משתמשים
- כל תרחיש עם תתי-דומיינים דינמיים ובלתי-צפויים
השתמשו ברשומות ספציפיות עבור:
- תשתית ייצור (
api.,www.,mail.) - שירותים עם דרישות IP ייחודיות
- כל דבר קריטי לאבטחה
העיקרון: תווים כלליים מטפלים בזנב הארוך, רשומות ספציפיות מטפלות במה שחשוב ביותר.
שאלות נפוצות על רשומות DNS עם תווים כלליים
כיצד רשומות תווים כלליים מתקשרות עם רשומות CNAME?
רשומת CNAME עם תו כללי (*.example.com CNAME target.com) יוצרת כינוי לכל תתי-הדומיינים התואמים לדומיין אחר. זה נפוץ להפניית תתי-דומיינים דינמיים למאזני עומס או נקודות קצה של CDN. אותם כללי עדיפות חלים — רשומות ספציפיות מבטלות את התו הכללי.
האם כדאי להשתמש ב-DNS עם תווים כלליים לדואר אלקטרוני?
לא. רשומות MX עם תווים כלליים מאפשרות שליחת דואר אלקטרוני מכל תת-דומיין, מה ששולחי ספאם מנצלים. היצמדו לרשומות MX ספציפיות עבור דומייני הדואר הלגיטימיים שלכם.
מה קורה אם יש לי גם *.example.com וגם *.app.example.com?
הם מתקיימים זה לצד זה ללא סתירה. שאילתות עבור foo.example.com מתאימות לתו הכללי הראשון. שאילתות עבור bar.app.example.com מתאימות לשני. כל תו כללי שולט ברמה שלו בהיררכיה.
מקורות
האם דף זה היה מועיל?