顶级域名 .local 是否适用于私有网络内部使用,是否有任何安全优势

顶级域名 .local 是否适用于私有网络内部使用,是否有任何安全优势

在两个 SO 问题中这里那里普遍的观点是,使用 .local 作为内部网络不是一个好主意。

然而其中一条评论指出:

但是:不要使用您已经用于面向公众的生产服务的真实域名。www.example.com 和 *.internal.example.com 之间允许进行各种交互,而 www.example.com 和 *.example.net 之间不允许进行这些交互,最明显的是跨站点 cookie 设置。在同一个域上运行内部和外部服务会增加公共服务被入侵的风险,从而导致内部服务受到一定程度的入侵,反之,不安全的内部服务可能会引发对外部服务的内部滥用。– bobince

这可以解释为使用 .local 作为内部网络的好处吗?还有哪些其他选项可以减轻安全风险?

答案1

使用.local是一种安全风险。 按照RFC 6762 第 3 节,该顶级域名是为多播 DNS 保留的。这意味着,如果您将其用于自己的机器,则网络上的任何 Android、Linux、iOS 或 OSX 设备都可能(合法且正确地)响应查询。不知道您的内部 DNS 答案来自哪里是不是从安全角度而言,这是一个很好的举措。

不要使用 ,而要.local使用一个仅供内部使用的子域名,即一个已正确注册到您的完全正常的域名。

相关内容