配置GCloud DNS,很明显,它们可以跨区域重用名称服务器。然而,我注意到,一旦GCloud的名称服务器被添加到外部提供商(Bluehost、GoDaddy等)中的域NS记录中,映射解析就会在没有所有权验证的情况下进行。
何时发生:
- 域所有者(例如joe.com)将其自己的有效NS记录指向GCloud作为子域(例如my.app.joe.com)
- 另一个GCloud DNS用户,而不是域名所有者,将*.joe.com添加到他们的区域记录中
在这种情况下,GCloud DNS是否允许其他用户劫持www.joe.com上的流量?考虑到Nameserver端点的重叠,GCloud DNS在什么时候向域所有者断言SOA?
更新
刚刚为我不拥有的域(例如hijack.domain.com
)创建了一个新的GCloud DNS区域,该区域因使用GCloud域名服务器(例如www.domain.com
)而广为人知。能够将该子域CNAME到www.mycustomsite.com.
既然区域可以采取任何形式,这难道不意味着有人可以劫持GCloud DNS用户域上无尽的区域名称吗?
更新
3小时后,GCloud DNS中的区域创建视图现在面临验证所有权的挑战https://www.google.com/webmasters/verification
不确定之前发生了什么,但验证不是创建过程的一部分。
谷歌云DNS应该与https://www.google.com/webmasters/verification
在创建新区域时,如果尚未在其堆栈中建立所有权,则应验证所有权。