Globalny weryfikator rekordu CNAME
Rekord CNAME (Canonical Name) działa jako alias na poziomie domeny. Zamiast rozwiązywać nazwę hosta bezpośrednio na adres IP, CNAME instruuje resolver DNS, że celem jest inna nazwa domeny. Gdy resolver napotka CNAME, wznawia całą sekwencję wyszukiwania, wysyłając zapytanie do nowej domeny kanonicznej, aż w końcu rozwiąże ją na docelowy rekord A lub AAAA. Jest to powszechnie wykorzystywane przez programistów integrujących platformy SaaS stron trzecich, sieci CDN (Content Delivery Networks) lub środowiska PaaS takie jak Vercel i Heroku, gdzie statyczne przypisania IP nie są gwarantowane, a infrastruktura często się zmienia.
Ograniczenie Apex Domain (RFC 1034)
Jedna z najbardziej sztywnych reguł w architekturze DNS, zdefiniowana w RFC 1034, dyktuje, że rekord CNAME nie może współistnieć w tym samym węźle z żadnym innym typem rekordu. Ponieważ główny wierzchołek domeny (tzw. Apex, np. example.com) jest matematycznie zobowiązany do przechowywania rekordów SOA (Start of Authority) i NS (Name Server), aby w ogóle funkcjonować, niemożliwe jest umieszczenie standardowego CNAME w root domain. Próba wykonania tej czynności powoduje uszkodzenie strefy, prowadząc do katastrofalnych awarii poczty (MX) i routingu. Aby obejść to ograniczenie, nowocześni dostawcy zarządzanego DNS (tacy jak Cloudflare, AWS Route 53 i DNSimple) opracowali autorskie pseudo-rekordy "CNAME Flattening" lub "ALIAS". Systemy te rozwiązują cel CNAME wewnętrznie po stronie serwera i dostarczają syntetyczny rekord A bezpośrednio do żądającego klienta, zachowując ścisłą zgodność z RFC.
Subdomain Takeovers i Dangling Records
Rekordy CNAME wprowadzają poważny wektor ataku, znany jako przejęcie subdomeny (Subdomain Takeover). Zjawisko to występuje, gdy administrator tworzy CNAME wskazujący subdomenę (np. docs.example.com) na usługę zewnętrzną, taką jak GitHub Pages lub endpoint Zendesk. Jeśli firma usunie później swoje konto Zendesk, ale zapomni usunąć rekord CNAME ze swojej strefy DNS, alias staje się "wiszący" (dangling). Złośliwy aktor może następnie zarejestrować ten porzucony endpoint u zewnętrznego dostawcy i natychmiast przejąć pełną kontrolę nad zaufaną subdomeną, umożliwiając ataki phishingowe i kradzież plików cookie. Regularne audyty łańcuchów CNAME są obowiązkową praktyką w zakresie bezpieczeństwa.
Kary za wielokrotną rezolucję i pętle nieskończone
Łączenie aliasów ze sobą (np. wskazywanie aliasu A na alias B, który wskazuje na alias C) wiąże się ze znacznym spadkiem wydajności. Każdy przeskok wymaga od klienta wykonania dodatkowego wyszukiwania DNS, dodając wymierne milisekundy do czasu pierwszego bajtu (TTFB - Time to First Byte). Ponadto, nieprawidłowe konfiguracje mogą łatwo tworzyć nieskończone pętle routingu, powodując, że resolver przerywa wyszukiwanie i zwraca błąd NXDOMAIN. Globalna weryfikacja struktury aliasów zapewnia wydajny i bezpośredni routing.