Global CNAME Kaydı Kontrol Aracı
CNAME (Canonical Name) kaydı, alan adı düzeyinde bir alias (takma ad) olarak işlev görür. Bir host adını doğrudan bir IP adresine çözümlemek yerine, CNAME, DNS resolver'ına hedefin başka bir alan adı olduğunu bildirir. Bir resolver bir CNAME ile karşılaştığında, tüm lookup dizisini yeniden başlatır, sonunda bir uç (terminal) A veya AAAA kaydına çözümlenene kadar yeni canonical alan adını sorgular. Bu, statik IP atamalarının garanti edilmediği ve altyapının sık sık değiştiği üçüncü taraf SaaS platformlarını, Content Delivery Network'leri (CDN) veya Vercel ve Heroku gibi PaaS ortamlarını entegre eden geliştiriciler tarafından yoğun bir şekilde kullanılır.
Apex Domain Sınırlaması (RFC 1034)
RFC 1034'te tanımlanan DNS mimarisindeki en katı kurallardan biri, bir CNAME kaydının aynı node üzerinde başka bir kayıt türüyle birlikte bulunamayacağını dikte eder. Bir alan adının kök tepe noktası (Root Apex, örn. example.com) matematiksel olarak çalışması için SOA (Start of Authority) ve NS (Name Server) kayıtlarını tutması gerektiğinden, kök dizine standart bir CNAME yerleştirmek imkansızdır. Bunu denerseniz zone bozulur ve feci e-posta (MX) ve routing hatalarına neden olur. Bu kısıtlamayı atlamak için, modern yönetilen DNS sağlayıcıları (Cloudflare, AWS Route 53 ve DNSimple gibi) tescilli "CNAME Flattening" veya "ALIAS" pseudo-kayıtları geliştirdiler. Bu sistemler, CNAME hedefini sunucu tarafında dahili olarak çözümler ve doğrudan talepte bulunan istemciye sentetik bir A kaydı sunarak katı RFC uyumluluğunu korur.
Subdomain Takeover ve Dangling Kayıtlar
CNAME kayıtları, Subdomain Takeover olarak bilinen ciddi bir güvenlik vektörü sunar. Bu, bir yöneticinin bir alt alan adını (ör. docs.example.com) GitHub Pages veya bir Zendesk endpoint'i gibi üçüncü taraf bir hizmete işaret eden bir CNAME oluşturduğunda meydana gelir. Şirket daha sonra Zendesk hesabını siler ancak CNAME kaydını DNS zone'undan kaldırmayı unutursa, bu alias "dangling" (boşta/askıda) hale gelir. Kötü niyetli bir aktör daha sonra bu terk edilmiş endpoint'i üçüncü taraf sağlayıcıya kaydedebilir ve güvenilen alt alan adı üzerinde anında tam kontrol sahibi olarak phishing saldırılarını ve çerez hırsızlığını (cookie theft) etkinleştirebilir. CNAME zincirlerinin düzenli olarak denetlenmesi zorunlu bir güvenlik uygulamasıdır.
Çözümleme Cezaları ve Sonsuz Döngüler
Alias'ları birbirine zincirlemek (örneğin, Alias A'yı Alias B'ye işaret etmek, onun da Alias C'ye işaret etmesi) önemli bir performans cezasına neden olur. Her sıçrama (hop), istemcinin ek bir DNS lookup gerçekleştirmesini gerektirir ve Time to First Byte (TTFB) süresine ölçülebilir milisaniyeler ekler. Ayrıca, yanlış yapılandırmalar kolayca sonsuz (infinite) routing döngüleri oluşturarak resolver'ın lookup'ı iptal etmesine ve bir NXDOMAIN hatası döndürmesine neden olabilir. Alias yapınızı global olarak doğrulamak, verimli ve doğrudan routing sağlar.