我最近在Digital Ocean上设置了服务器。将域名指向Digital Ocean名称服务器的过程就像在注册商的网站上更新它们并将其添加到我的服务器一样容易。

Digital Ocean如何验证我拥有要添加到服务器中的域?没人能这样做吗?在我解决这个问题之前,其他客户可以将我的域名添加到他们的Digital Ocean帐户吗?

评论

来自如何知道域是否属于某个人?托管公司可以要求使用DNS TXT记录进行验证。使用cname验证域所有权以供主机使用的背后方法论提出了疑问,为什么托管公司在允许托管域之前要求DNS验证。

我认为这是在这里提出的相同问题:如果同一主机上的两个人声称拥有某个域,会发生什么情况?但是,这没有一个好的答案。我认为这个问题得到了很好的答案,因此也许该问题应标记为该问题的重复。

问题区域很大。它的一部分被称为“子域攻击”,它的确可能造成破坏性影响。 Webhosters通常不检查任何内容。请参阅elabcommunications.com/blog/…相同范围的漏洞是导致TLS-SNI-01作为DV证书颁发验证检查消失的原因(请参阅infosecurity-magazine.com/news/lets-encrypt-flaw-hackers-to )。

#1 楼

没人能做到吗?

您缺少一个因素。域名注册和托管是两件事,即使您的主机将为您注册域名。在域名执行任何操作之前,必须先注册域名并指向IP地址。

托管公司通常不关心域名注册,只是出售域名注册以帮助您。

让我们假设您在GoDaddy注册了域名并从Digital Ocean购买了主机。

Digital Ocean将为您提供服务器的IP地址。使用GoDaddy,您可以将域名与该IP地址相关联。这是两个单独的过程。即使您是从Digital Ocean购买域名的,过程仍然是分开的。服务器?,答案是否定的。注册域名时,该域名必须出现在TLD域名服务器中。例如,example.com将必须在.com TLD域名服务器中注册,并添加SOA(授权声明)记录。只是在托管DNS中放置一个域名并不能做到这一点。

如何验证我拥有要添加到服务器中的域名?不在乎您是否拥有域名。原因很简单。您创建的网站必须正确注册域名才能使用。同样,拥有域名的人也不是运行站点本身的人并不少见。域名和主机之间必须分开。例如,当我是网络托管人时,MARS candy拥有域名,付钱给一家托管公司来托管该网站,然后又付钱给另一家公司来开发和维护该网站。如果您在注册Digital Ocean时注册了域名,那么他们只是为您注册了您的域名并为您设置了域名以便与他们的托管合作。就这么简单。

评论


您的托管公司的任何客户都可以看到您注册了新域,然后再将其添加到自己的托管帐户中吗?然后,当您将IP地址指向托管公司的服务器时,您便不是控制内容的人。或者换一种说法,如果我是网络托管人,如何验证将域名添加到其帐户的人是否真正拥有该域名?如果不进行验证,该如何解决冲突和纠纷?

–斯蒂芬·奥斯特米勒(Stephen Ostermiller)
19年11月11日在11:23



@StephenOstermiller:步骤1:告诉MyHost我拥有MyDomain.com。步骤2:MyHost.com将做出响应(“ err,请提供它(例如,使用TXT记录)”,或者将做出响应,“确定,指向IP XXXX”。步骤3:我将MyDomain.com指向XXXX,知道MyHost承诺这是我的服务器,因此,这为MyHost提供了两种解决域争端的方法:A)仅使用其他IP。实际拥有域的人将指向正确的IP或B)需要验证。关于事件,在MyHost确认我具有控制权后,我将MyDomain.com的DNS设置为指向MyHost。

–布赖恩
19年11月11日14:56



@StephenOstermiller:综上所述,该方案失败有一些边缘条件。示例包括ACME TLS-SNI-01和“域前沿”。

–布赖恩
19年11月11日15:01



@Brian在共享主机上执行“确定,将其指向IP X.X.X.X”的步骤可能会出现问题。大多数托管公司不实施所有权的任何形式的DNS验证。他们通常相信将域添加到该服务器上的帐户的第一个人是所有者。我可以想象,在某些情况下,其他客户可以通过将您的域添加到他们的帐户来在其域上显示其内容。在您有机会这样做之前先这样做,或者通过社会工程托管公司的支持。

–斯蒂芬·奥斯特米勒(Stephen Ostermiller)
19年11月11日15:05

@StephenOstermiller:如果两个客户注册相同的域,则托管公司将A)要求验证或B)将为两个客户分配不同的IP。主机保留域/ IP地址对的唯一列表。如果主机告诉我“将MyDomain.com指向IP X.X.X.X”,则当该流量到达SNI标头中带有MyDomain.com的X.X.X.X时,我的帐户是唯一为该流量提供服务的帐户。

–布赖恩
19年11月11日15:08



#2 楼

当然,任何人都可以这样做,但是他们会从中得到什么呢?将域附加到服务器不会给您服务器的任何访问权或所有权。 ..因此,将您的域名服务器指向除您自己的服务器以外的其他地址通常是没有意义的,因此人们通常不会这样做。域到您不拥有的服务器上..如白标付款服务。在这种情况下,您将拥有的子域(例如cash.thedomainyouown.com)指向付款提供商拥有的服务器,当他们的服务器看到请求中带有您的域名时,他们就会知道用户以及您公司的付款页面。并且用户不会注意到您已将该服务委托给另一家公司,除非他们深入研究(例如验证IP所有权)。如果必须证明服务器或IP所有权来设置DNS记录,则这些白标用例将无法使用。

评论


当有人将他的域名example.org指向您的服务器时,这取决于Web服务器配置,如果http://example.org/将显示任何内容或给出错误消息。但是http * s *://example.org/应该总是导致证书错误。 (邮件服务器配置是另一回事。)

–杜布
19年11月11日13:54



#3 楼


Digital Ocean如何验证我拥有要添加到服务器中的域?没人能这样做吗?



因为其他答案都没有提到它,所以您可以在我的域名之前将另一个域添加到他们的Digital Ocean帐户中吗:您可能必须告诉服务器哪个域期望的名称,但这实际上并不会导致这些域名出现在该域名中。 .org。然后它会联系该IP地址,并说:“嗨,我在找example.org。请将您的主页发送给我。”

根据服务器配置,服务器可能会在意哪个域浏览器会告诉您,或者可能不会。如果浏览器说“嗨,我正在寻找asdjhashsdfsfgdfgdg.org。请将您的主页发送给我。”那么服务器将发送回example.org主页(如果它不在乎),或者将发送一个错误页面,显示“抱歉,我不知道该站点是哪个”。如果您的服务器确实需要,那么它需要知道您的域是什么。

通过这种方式可以使您可以将同一个IP地址用于多个域,并且仍然可以使用不同的网页每个域。如果您有多个指向同一IP地址的域,则服务器确实需要知道您拥有哪些域,因此它可以发送正确的页面。

#4 楼

简单的答案:他们不知道,也不关心,为了使您的网站正常工作,您需要将您的域名指向您的Droplet,只有当您是该域名的所有者时,才可以。如果其他人在DO上添加了您的域,那么他们将无法将您的域指向其液滴。

#5 楼

我认为一般来说,托管服务提供商在允许您指示域名托管服务器及其域名服务器将其指向您的服务器或网站之前,不会验证您是否确实拥有该域名。过去,我已经能够在托管服务提供商处做到这一点。在大多数情况下,这是无害的,因为域名所有者首先对其进行了设置(在这种情况下,您的托管服务提供商将不会接受同一域的另一个条目),或者他们将其设置在其他托管服务提供商上(万一没人会向您询问该站点)。

这可能会引起问题,但是,如果您设置的域不是您真正拥有的,那么该域的真正所有者稍后会尝试将其带给您正在使用的提供程序。我曾经接到托管服务提供商的电话,抱怨我已经将他人的域名输入了我的帐户,而现在(很多年后),该人正试图切换到托管服务提供商,但无法设置他们的域名因此,根据我的经验正确地确定了域名的范围。

因此,根据我的经验,由此产生的问题将由人类根据具体情况进行处理。要实际声明足够多的域以很可能击中可能被注册或转移的域,您必须添加如此多的域以致于引发其他危险信号。