Домени та DNS

DNS та проксі — Cloudflare. AWS Route53 використовується тільки для приватної zone abitly.internal. (внутрішня резолюція в VPC), публічних zone в AWS немає.

Публічні домени

Домен	Сервіс	Хостинг target
abitly.org	Abitly Web	ALB abitly-prod-shared (eu-central-1, проксі CF)
api.abitly.org	Abitly API	ALB abitly-prod-shared
cms.abitly.org	Strapi	EC2 abitly-prod-strapi + CF Auth Origin Pulls
tutor-api.abitly.org	external Tutor service	поза нашою інфрою
studsearch.org	Studsearch Web	Amplify studsearch-prod-frontend (i18n через ?lng=en)
server.studsearch.org	Studsearch backend	EB studsearch-prod-env
test.studsearch.org	Studsearch staging frontend	окремий host (TODO: уточнити куди резолвиться)
abitly-telegram-webapp-production.up.railway.app	Mini App prod	Railway-домен
abitly-telegram-web-app-f3jfl.ondigitalocean.app	Mini App попередній deploy	DO App Platform — legacy, кандидат на cleanup CORS
sea-lion-app-82n43.ondigitalocean.app, urchin-app-lysih.ondigitalocean.app	у CORS-allowlist API	DO App Platform — legacy, кандидати на видалення з FRONT_URL

(Список взято з /abitly/prod/backend/FRONT_URL CORS-allowlist і SSM PUBLIC_URL значень.)

Cleanup-кандидати в CORS

Три DO App Platform URL-и (f3jfl, sea-lion-app-82n43, urchin-app-lysih) — застаріли після переходу на Railway/AWS. Залишення їх у FRONT_URL додає шум та потенційну поверхню атаки через підставлений DO subdomain. Прибрати → aws ssm put-parameter на /abitly/prod/backend/FRONT_URL без цих 3 значень.

Приватна zone (AWS Route53)

Zone	Тип	Призначення
abitly.internal.	Private hosted zone (id Z04105343S9QLUTLJS57W)	внутрішня резолюція ECS / EC2 у VPC

Cloudflare налаштування

• Account: Info@abitly.org's Account (id 0f2d9ae8b2976e235eefc16812fb91bb)
• Власник: info@abitly.org
• Proxy (orange cloud): для abitly.org (origin = ALB), studsearch.org (origin = Amplify), cms.abitly.org (origin = EC2) — TODO: підтвердити повний перелік через Cloudflare MCP
• SSL режим: TODO: (Full / Full strict — рекомендується Full strict для prod)
• Authenticated Origin Pulls: активовано для Strapi (cms.abitly.org) — Caddy у контейнері перевіряє origin-cert (SSM ORIGIN_CERT, ORIGIN_KEY, ORIGIN_PULL_CA)
• Сертифікати:
  • Edge — Cloudflare-managed (universal SSL)
  • Origin-cert для Strapi (cms.abitly.org) — Cloudflare Origin Certificate, 15-річний. Поточний: випущений 2026-05-28, expires 2041-05-24. Issuer: CloudFlare Origin SSL Certificate Authority. Ротація — через Cloudflare → SSL/TLS → Origin Server → Create Certificate, далі aws ssm put-parameter на /abitly/prod/strapi/ORIGIN_CERT + ORIGIN_KEY.

Типові проблеми

• 403 від Strapi через Cloudflare → найімовірніше прострочений ORIGIN_CERT → ротація через Cloudflare → SSM put
• Сайт не відкривається — Cloudflare показує 5xx → перевірити origin (ALB/Amplify status) перш ніж винити CF
• Підняти новий піддомен → CF CNAME на ALB/Amplify + SSL cert + (для backend) додати в ALLOWED_METHODS SSM