Wildcard-запись в DNS использует символ «*» как метасимвол для любых не определённых явно поддоменов. Это удобно для мультитенантных SaaS-приложений, где каждому клиенту выдаётся собственный поддомен.
Как работает
Запись * IN A 185.10.20.30 означает: любое имя вида что-угодно.example.com, не имеющее явной A-записи, резолвится в 185.10.20.30. Явные записи всегда имеют приоритет над wildcard.
Wildcards работают только на одном уровне: *.example.com покрывает sub.example.com, но не a.b.example.com. Для двух уровней нужна отдельная запись *.*.example.com — но её поддерживают не все резолверы.
Применение
- SaaS-платформы:
client1.app.com,client2.app.com— все на один IP, приложение роутит по имени. - Wildcard SSL-сертификат: покрывает
*.example.com— все поддомены одним сертификатом. - Staging-среды:
*.staging.company.com→ staging-сервер.
История
Wildcard DNS описан в RFC 1034 (1987). Авторитативный DNS-сервер обрабатывает wildcard как особый тип записи. Поведение wildcard-записей долго оставалось источником неоднозначностей; RFC 4592 (2006) уточнил правила их применения и разрешил накопившиеся противоречия в интерпретации.
Wildcard и безопасность
Некорректно настроенный wildcard может направить трафик нераспознанных поддоменов на сервер, не ожидающий их. Фишинговые кампании иногда эксплуатируют чужие wildcard-записи. Wildcard-сертификат Let's Encrypt требует DNS-01 challenge (не HTTP), что сложнее автоматизировать.
Как работает Wildcard DNS
Wildcard-запись (*.example.com) перехватывает DNS-запросы для любого не-определённого поддомена. Если есть явная запись blog.example.com A 1.2.3.4 и wildcard *.example.com A 5.6.7.8 — запрос к blog.example.com получит 1.2.3.4 (явная запись приоритетнее). Запрос к anything.example.com получит 5.6.7.8. Wildcard не является рекурсивным: *.example.com не покрывает sub.sub.example.com.
Практическое применение Wildcard DNS
Мультитенантные SaaS-приложения: каждый клиент получает поддомен client-name.yourapp.com. Wildcard-запись ведёт все такие запросы на один IP или балансировщик нагрузки. Приложение определяет клиента по поддомену из HTTP-заголовка Host. Так работают WordPress.com (yoursite.wordpress.com), Shopify (yourstore.myshopify.com), Tumblr.
Среды разработки: *.dev.example.com → IP разработческого сервера. Разработчик создаёт любой поддомен в конфигурации приложения без изменения DNS. Аналогично для тестовых и стейджинговых сред.
Wildcard SSL-сертификаты
Wildcard SSL-сертификат — SSL для *.example.com, покрывает все поддомены первого уровня. Один сертификат вместо отдельных для blog.example.com, shop.example.com, api.example.com. Let's Encrypt выдаёт Wildcard SSL бесплатно, но только через DNS-01 challenge (нужно добавить TXT-запись через API DNS-провайдера для автоматического обновления). Wildcard сертификат не покрывает сам apex-домен example.com — для него нужна отдельная SAN-запись или отдельный сертификат.
Wildcard и безопасность
Риски wildcard-записей: если злоумышленник захватит управление вашим приложением, он сможет использовать любой поддомен для фишинга. Рекомендация: не используйте wildcard без необходимости. Для DNSSEC wildcard-записи требуют специальной обработки (NSEC3 для доказательства отсутствия конкретных записей). CAA-запись ограничивает, какие CA могут выпускать сертификаты для домена — важна при использовании Wildcard SSL.