CNAME Cloaking (tunnetaan myös nimellä CNAME tracking tai first-party tracking) on tekniikka, jossa kolmannen osapuolen seurantadomain (esim. analytics.vendor.com) naamioituu yrityksen omaksi subdomainiksi (esim. tracking.yritys.fi) käyttämällä DNS CNAME-tietuetta. Tämä saa selaimet käsittelemään kolmannen osapuolen evästeitä first-party-evästeinä, kiertäen näin evästeiden estoja.
Miten CNAME cloaking toimii
DNS CNAME-tietue luo alias-osoitteen. Yritys asettaa DNS-asetuksissa: tracking.yritys.fi CNAME analytics.vendor.com. Kun selaimen tekee pyynnön osoitteeseen tracking.yritys.fi, se ohjautuu analytics.vendor.com -palvelimelle.
Selaimen näkökulmasta pyyntö menee yrityksen omaan domainiin. Koska subdomain kuuluu yrityksen päädomain-alueeseen (yritys.fi), evästeet käsitellään first-party-evästeinä.
Kolmannen osapuolen palvelin vastaanottaa datan. Vaikka pyyntö näyttää tulevan yrityksen domainista, se menee todellisuudessa kolmannen osapuolen (esim. analytiikka- tai mainosyrityksen) palvelimelle.
Miksi CNAME cloaking on kehitetty
Safari ITP (Intelligent Tracking Prevention) ja Firefox ETP (Enhanced Tracking Protection) estävät kolmannen osapuolen evästeet automaattisesti. Tämä rikkoi seurannan ja konversioseurannan.
First-party-evästeet toimivat edelleen. Selaimet eivät estä evästeitä, jotka tulevat samasta domainista kuin verkkosivusto. CNAME cloaking hyödyntää tätä.
Mainosverkostot ja analytiikka-alustat tarvitsivat ratkaisun. CNAME cloaking mahdollisti seurannan jatkumisen, vaikka kolmannen osapuolen evästeet estyivät.
CNAME cloakingin käyttötapauksia
Analytiikka-alustat kuten Adobe Analytics ja Eulerian tarjoavat CNAME-ratkaisuja, jotta seuranta toimii myös Safari-käyttäjillä.
Mainosverkostot ja retargeting-alustat käyttävät CNAME-teknologiaa konversioseurantaan ja yleisöjen rakentamiseen.
CDN-palvelut voivat käyttää CNAME-tietueita, mutta tämä on eri käyttötapa (sisällön jako, ei seuranta) eikä se ole kiistanalainen.
Eettisyys ja kritiikki
Yksityisyyden kiertäminen on suurin huolenaihe. CNAME cloaking on suunniteltu nimenomaan kiertämään selainten yksityisyyssuojia, jotka pyrkivät estämään kolmannen osapuolen seurannan.
Läpinäkyvyyden puute: Käyttäjät eivät tiedä, että heidän datansa jaetaan kolmannelle osapuolelle, koska pyyntö näyttää menevän sivuston omalle palvelimelle.
GDPR-ongelmat: Vaikka CNAME cloaking ei riko GDPR:ää suoraan, se voi rikkoa läpinäkyvyyden vaatimusta. Tietosuojaselosteessa tulisi selkeästi mainita, että kolmansia osapuolia käytetään seurantaan, vaikka teknisesti CNAME:a käytetään.
Selainvalmistajat torjuvat: Safari on alkanut havaita ja estää CNAME cloaking -tekniikoita. Webkit-blogi (2020) ilmoitti, että Safari rajoit first-party-evästeitä, jotka osuvat tunnettuihin CNAME-cloaking-palvelimiin.
Selainten vastareaktiot
Safari ITP 2.3 (2020) alkoi havaita CNAME cloaking -kaavioita. Jos first-party subdomain ohjautuu tunnettuun kolmannen osapuolen seurantadomainiin, Safari rajoittaa evästeiden elinikää 7 päivään.
Firefox ja Brave seuraavat perässä. Ne käyttävät disconnect.me-listoja ja muita tunnistustekniikoita havaitakseen CNAME cloaking -yritykset.
CNAME cloaking vs. server-side tracking
Server-side tracking on läpinäkyvämpi tapa. Data kulkee yrityksen palvelimen kautta (esim. Google Tag Manager Server-side), jolloin yritys hallitsee dataa ennen sen lähettämistä kolmansille osapuolille.
CNAME cloaking on suora ohjaus kolmannelle osapuolelle naamioimalla domain. Yritys ei itse käsittele dataa ennen sen siirtymistä.
Etiikka: Server-side on avoimempi, koska se voidaan dokumentoida tietosuojaselosteessa selkeästi. CNAME cloaking tuntuu “huijaukselta”, vaikka teknisesti toimii.
Laillisuus ja compliance
GDPR ei suoraan kiellä CNAME cloakingia, mutta läpinäkyvyys ja suostumuksen vaatimukset koskevat silti. Käyttäjän tulee tietää, että data jaetaan kolmansille osapuolille, ja suostumusta tarvitaan.
ePrivacy-direktiivi koskee kaikkia evästeitä riippumatta siitä, ovatko ne “first-party” vai “third-party” teknisesti. Suostumus tarvitaan, jos evästeet eivät ole välttämättömiä.
DPA (Data Processing Agreement) tarvitaan kolmannen osapuolen palveluntarjoajan kanssa, vaikka CNAME:a käytettäisiin.
Merkitys yritykselle
CNAME cloaking on lyhyen aikavälin ratkaisu, joka on katoamassa. Selaimet sulkevat tätä porsaanreikää jatkuvasti, joten sen varaan ei kannata rakentaa pitkän aikavälin strategiaa.
Eettisyys on kysymysmerkki. Jos käytät CNAME cloakingia, kysyy itseltäsi: Olenko avoin käyttäjille siitä, mitä teen? Jos vastaus on “ei”, se on merkki ongelmasta.
Pk-yritykselle suositus: investoi server-side trackingiin (GTM Server-side, Conversion API) sen sijaan, että käytät CNAME cloakingia. Se on läpinäkyvämpi, tulevaisuuskestävämpi ja eettisesti oikeampi.
Jos käytät CNAME cloakingia, varmista että: (1) tietosuojaselosteessa mainitset kolmannet osapuolet selkeästi, (2) pyydät GDPR-mukainen suostumu
s evästeille, (3) sinulla on DPA palveluntarjoajan kanssa.
Tulevaisuudessa cookieless-ratkaisut, kuten Conversion API ja Privacy Sandbox, ovat kestävämpiä kuin CNAME cloaking. Aloita siirtyminen nyt.