DNS nic do světa nepropaguje – někdo musí znát doménové jméno a na to se pak zeptá. „Propagaci“ doménového jména ale zajistí vystavení důvěryhodného certifikátu (pokud nepoužijete hvězdičkový certifikát) – název se objeví v certificate transparency logu vydaných certifikátů.
Ano, proto jsem tu propagaci dal do uvozovek, myslel jsem tim viditelnost zaznamu a pripadne cachovani. Certfikaty budou jen pro cast internich zaznamu a pokud se nepletu, prozrazuji jen FQDN, nikoliv IP. Ackoli i FQDN muze poskytnout nejake informace pripadnym utocnikum (napr. druh bezici sluzby ci pouzity SW), povazuji to za akceptovatelne riziko.
Ale pokud by vám opravdu vadilo, že si někdo z venku může přeložit váš privátní záznam, můžete použít opět split horizon a do venkovního DNS vystavovat jen ověřovací TXT záznamy pro ACME, ale A/AAAA záznamy mít jen ve vnitřním pohledu na zónu.
Diky, takhle to asi zrejme budu implementovat.
15 Odpovědí
5703 Zhlédnutí