CNAME y Target

Instrucciones para trabajar con Adobe ClientCare para implementar la compatibilidad con CNAME (Nombre canónico) en Adobe Target. Utilice CNAME para gestionar problemas de bloqueo de anuncios o directivas de cookies relacionadas con ITP (prevención inteligente del seguimiento). Con CNAME, las llamadas se realizan a un dominio propiedad del cliente en lugar de a un dominio propiedad de Adobe.

Solicitar compatibilidad con CNAME en Target

  1. Determine la lista de nombres de host que necesita para su certificado SSL (consulte las preguntas frecuentes a continuación).

  2. Para cada nombre de host, cree un registro CNAME en su DNS que apunte a su Target nombre de host clientcode.tt.omtrdc.net normal.

    Por ejemplo, si el código de cliente es "cnamecustomer" y el nombre de host propuesto es target.example.com, el registro CNAME DNS tiene un aspecto similar a:

    target.example.com.  IN  CNAME  cnamecustomer.tt.omtrdc.net.
    
    IMPORTANTE

    La autoridad de certificación de Adobe, DigiCert, no puede emitir un certificado hasta que se complete este paso. Por lo tanto, Adobe no puede cumplir su solicitud de implementación de CNAME hasta que este paso se complete.

  3. Complete este formulario e inclúyalo cuando abra un ticket de Adobe Client Care solicitando asistencia CNAME:

    • Código de cliente Target de Adobe:
    • Nombres de host de certificados SSL (ejemplo: target.example.com target.example.org):
    • Comprador de certificados SSL (se recomienda encarecidamente el Adobe, consulte Preguntas frecuentes): Adobe/cliente
    • Si el cliente compra el certificado, también conocido como "Traer su propio certificado" (BYOC), rellene estos detalles adicionales:
      • Organización de certificados (ejemplo: Empresa de Ejemplo S.A.):
      • Unidad organizativa del certificado (opcional, ejemplo: Marketing):
      • País del certificado (ejemplo: EE. UU.):
      • Estado o región del certificado (ejemplo: California):
      • Ciudad del certificado (ejemplo: San José):
  4. Si Adobe está comprando el certificado, Adobe trabaja con DigiCert para adquirir e implementar el certificado en los servidores de producción de Adobe.

    Si el cliente compra el certificado (BYOC), Adobe Client Care le envía la solicitud de firma de certificado (CSR). Utilice la CSR al adquirir el certificado a través de la autoridad de certificación que elija. Una vez emitido el certificado, envíe una copia del certificado y los certificados intermedios a Adobe Client Care para su implementación.

    Adobe ClientCare le notifica cuando la implementación está lista.

  5. Actualice serverDomain al nuevo CNAME en at.js.

Preguntas frecuentes

La siguiente información responde a las preguntas más frecuentes sobre la solicitud e implementación del soporte de CNAME en Target:

¿Puedo proporcionar mi propio certificado (Traer su propio certificado o BYOC)?

Puede proporcionar su propio certificado. Sin embargo, Adobe no recomienda esta práctica. La administración del ciclo de vida del certificado SSL es más fácil tanto para Adobe como para usted si Adobe compra y controla el certificado. Los certificados SSL deben renovarse cada año. Por lo tanto, Adobe ClientCare debe ponerse en contacto con usted cada año para obtener un nuevo certificado de forma oportuna. Algunos clientes pueden tener dificultades para producir un certificado renovado de forma oportuna. Su implementación Target se ve en peligro cuando el certificado caduca porque los navegadores rechazan las conexiones.

IMPORTANTE

Si solicita una implementación de CNAME de Target traer su propio certificado, usted es responsable de proporcionar certificados renovados a Adobe Client Care cada año. Si se permite que el certificado CNAME caduque antes de que Adobe pueda implementar un certificado renovado, se interrumpirá la implementación específica de Target.

¿Cuánto tiempo falta para que caduque mi nuevo certificado SSL?

Los certificados emitidos antes del 1 de septiembre de 2020 son certificados de dos años. Los certificados emitidos el 1 de septiembre de 2020 o después de esa fecha son certificados de un año. Puede leer más sobre el paso a certificados de un año aquí.

¿Qué nombres de host debo elegir? ¿Cuántos nombres de host debo elegir por dominio?

Target Las implementaciones CNAME requieren solo un nombre de host por dominio en el certificado SSL y en el DNS del cliente. Adobe recomienda un nombre de host. Algunos clientes requieren más nombres de host por dominio para sus propios fines (prueba en el entorno de ensayo, por ejemplo), que se admite.

La mayoría de los clientes eligen un nombre de host como target.example.com. Adobe recomienda seguir esta práctica, pero la elección es en última instancia tuya. No solicite un nombre de host de un registro DNS existente. Al hacerlo, se genera un conflicto y se retrasa el tiempo de resolución de la solicitud de CNAME Target.

Ya tengo una implementación CNAME para Adobe Analytics, ¿podemos usar el mismo certificado o nombre de host?

No, Target requiere un nombre de host y un certificado independientes.

¿Mi implementación actual de Target se ve afectada por ITP 2.x?

En un navegador Safari, vaya hasta el sitio web en el que tenga una biblioteca JavaScript de Target. Si ve una cookie Target configurada en el contexto de un CNAME como analytics.company.com, ITP 2.x no le afectará.

Los problemas de ITP se pueden resolver para Target con un Analytics CNAME. Necesita un CNAME Target independiente solo en escenarios de bloqueo de anuncios donde Target está bloqueado.

Para obtener más información sobre ITP, consulte Prevención inteligente del seguimiento de Apple (ITP) 2.x.

¿Qué tipo de interrupciones del servicio puedo esperar cuando se implementa mi implementación CNAME?

No hay interrupciones en el servicio cuando se implementa el certificado (incluidas las renovaciones de certificados).

Sin embargo, después de cambiar el nombre de host del código de implementación Target (serverDomain en at.js) por el nuevo nombre de host CNAME (target.example.com), los exploradores web tratan a los visitantes que regresan como nuevos visitantes. Se pierden los datos de perfil de los visitantes que regresan porque no se puede acceder a la cookie anterior bajo el nombre de host antiguo (clientcode.tt.omtrdc.net). La cookie anterior es inaccesible debido a los modelos de seguridad del explorador. Esta interrupción solo ocurre en el corte inicial del nuevo CNAME. Las renovaciones de certificados no tienen el mismo efecto porque el nombre de host no cambia.

¿Qué tipo de clave y algoritmo de firma de certificado se usan para mi implementación CNAME?

Todos los certificados son RSA SHA-256 y las claves son RSA de 2048 bits, de forma predeterminada. Actualmente no se admiten los tamaños de claves superiores a 2048 bits.

¿Cómo puedo validar que mi implementación CNAME esté lista para el tráfico?

Utilice el siguiente conjunto de comandos (en el terminal de línea de comandos macOS o Linux, usando bash y curl 7.49+):

  1. Pegue esta función bash en el terminal:

    function validateEdgeFpsslSni {
        domain=$1
        for edge in mboxedge{31,32,{34..38}}.tt.omtrdc.net; do
            echo "$edge: $(curl -sSv --connect-to $domain:443:$edge:443 https://$domain 2>&1 | grep subject:)"
        done
    }
    
  2. Pegue este comando (reemplazando target.example.com por su nombre de host):

    validateEdgeFpsslSni target.example.com
    

    Si la implementación está lista, verá los resultados como se muestra a continuación. La parte importante es que todas las líneas incluyen CN=target.example.com, que coincide con el nombre de host deseado. Si alguna línea incluye CN=*.tt.omtrdc.net, la implementación está no lista.

    $ validateEdgeFpsslSni target.example.com
    mboxedge31.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge32.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge34.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge35.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge36.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge37.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    mboxedge38.tt.omtrdc.net: *  subject: C=US; ST=California; L=San Jose; O=Adobe Systems Incorporated; CN=target.example.com
    
  3. Valide el nuevo CNAME DNS con otra solicitud curl, que también debería mostrar CN=target.example.com:

    curl -sSv https://target.example.com 2>&1 | grep subject:
    
    NOTA

    Si este comando falla pero el comando validateEdgeFpsslSni se ejecuta correctamente, espere a que las actualizaciones DNS se propaguen completamente. Los registros DNS tienen un TTL (tiempo de vida) asociado que dicta el tiempo de caducidad de la caché para las respuestas DNS de esos registros. Como resultado, es posible que tenga que esperar al menos mientras los TTL sean. Puede utilizar el comando dig target.example.com o el Cuadro de herramientas de G Suite para buscar los TTL específicos.

¿Cómo utilizo un vínculo de no participación con CNAME?

Si utiliza CNAME, el vínculo de no participación debe contener el parámetro "client=clientcode, por ejemplo:
https://my.cname.domain/optout?client=clientcode.

Reemplace clientcode por su código de cliente y, a continuación, añada el texto o la imagen que se vinculará a la URL de exclusión.

Limitaciones conocidas

  • El modo de control de calidad no es persistente cuando tiene CNAME y at.js 1.x porque se basa en una cookie de terceros. La solución es añadir los parámetros de vista previa a cada URL a la que navegue. El modo de control de calidad es persistente cuando tiene CNAME y at.js 2.x.
  • Actualmente, la configuración overrideMboxEdgeServer no funciona correctamente con CNAME al usar versiones de at.js anteriores a at.js 1.8.2 y at.js 2.3.1. Si utiliza una versión anterior de at.js, esta configuración debe establecerse como false para evitar solicitudes fallidas. Alternativamente, debería considerar la posibilidad de actualizar at.js a una versión más reciente y compatible.
  • Al utilizar CNAME, es más probable que aumente el tamaño del encabezado de la cookie para las llamadas Target . Adobe recomienda mantener el tamaño de la cookie por debajo de 8 KB.

En esta página