Est-ce qu'un enregistrement A est plus sécurisé qu'un enregistrement CNAME

Je ne peux vraiment pas penser à une situation où CNAME serait moins sécurisé.

On pourrait soutenir que puisque l'alias s'étend sur une zone (client.com -> company.com), ce n'est pas sûr puisque l'extrémité n'est pas sous le contrôle administratif de client.com. Cependant, le client supposement vous fait suffisamment confiance pour utiliser votre application, alors pourquoi ne pas faire confiance que vous ne ferez pas d'erreur avec l'enregistrement app.company.com.

D'un point de vue de l'administrateur système, je préférerais avoir un CNAME comme vous l'avez suggéré, mais vous pouvez simplement l'accepter et garder votre client satisfait :).

Non, un enregistrement CNAME n'est pas moins sécurisé qu'un enregistrement A.

En fait, ce type de situation est précisément la raison pour laquelle les CNAME existent en premier lieu.

De RFC 1034 Section 3.6.2. Aliases and canonical names :

Les hôtes et autres ressources ont souvent plusieurs noms qui identifient la même ressource. Par exemple, les noms C.ISI.EDU et USC-ISIC.ARPA identifient tous les deux le même hôte.

Il convient également de mentionner qu'un CNAME n'est pas vraiment une redirection d'URL. Les requêtes DNS se produisent avant toute connexion au serveur et fournissent simplement à votre client une adresse IP à utiliser pour sa session. Le client sait toujours quelle URL a été demandée à l'origine.

En théorie en supposant que votre application est conçue pour être multi-locataire avec différents domaines... il n'y a pas de réelle différence.

Les cnames ne sont pas des ‘redirections’, ce sont des alias. Ce ne sont simplement qu'un autre nom pour une ressource. Au-delà de la recherche DNS, votre application n'en aura rien à faire.

Cela offre une approche plus sécurisée car nous ne pouvons pas garantir que le CNAME continuera à masquer l'URL de la tierce partie du point de vue des utilisateurs finaux au niveau du navigateur.

Ça n'a aucun sens, techniquement parlant. Perdre le contrôle d'un nom A... est quelque chose de seulement un peu moins terrible et négligent que de perdre le contrôle de l'adresse IP sur laquelle votre application fonctionne.

Vous ne devriez pas non plus (mais pourriez) avoir un cname pointant vers un autre cname.

Et bon, il n'y a aucune raison pour laquelle vous ne pourriez pas garder ce client satisfait avec un nom A en supposant que votre tenue de registre soit suffisamment bonne, et maintenir d'autres clients sur un cname. Il suffit d'ajouter un supplément de service et d'ajuster votre SLA.

Un enregistrement A serait plus sécurisé qu'un enregistrement CNAME si les serveurs DNS de company.com sont compromis. De plus, pour être très pointilleux, un enregistrement CNAME nécessiterait légèrement plus de temps en raison de la résolution de nom supplémentaire. Outre cela, il n'y a pas beaucoup de différence et en fait de nombreux services cloud Internet - tels que Amazon Web Services - ont l'habitude de définir des CNAME pour les domaines des clients.

De plus, une URL ressemble à http://portal.client.com/myapp/foobar.html. Un CNAME ne peut pas pointer vers une URL, seulement vers un nom d'hôte. Vu leur réponse, il semble que votre client ne sait pas de quoi il parle. Vous voudrez peut-être ne pas lutter contre leur ignorance et, comme le suggère @Joe, les laisser définir un enregistrement A.