建站新手常犯的10个DNS和SSL配置错误，你中过几个？

　　说实话，我见过太多新手建站，花了大把时间选服务器、配环境、改主题，结果网站上线之后各种莫名其妙的问题：邮件发不出去、HTTPS打不开、子域名访问失败……最后查了半天，发现根本不是什么大问题，就是DNS或者SSL配置上那点小细节没弄对。这些错误有一个共同点：配置的时候不容易注意到，等发现问题的时候又很难排查。

　　一、A记录和AAAA记录傻傻分不清

　　这是最基础但也最容易混淆的问题。很多新手只知道添加一条A记录把域名指向服务器IP，然后网站就能开了，就以为万事大吉。直到有一天某个用IPv6网络的用户说打不开你的网站，你才意识到还有个叫AAAA记录的东西。

　　A记录是把域名指向IPv4地址，AAAA记录是把域名指向IPv6地址。现在很多家庭宽带和手机网络都已经默认分配IPv6地址了，如果你只配了A记录，IPv6用户访问你的域名时解析不到任何记录，自然就打不开。

　　解决方案很简单：如果你用的服务器支持IPv6(大部分香港服务器和国内云主机都支持)，问服务商要一下IPv6地址，再添加一条AAAA记录就行了。

　　二、CNAME和A记录冲突了还不自知

　　你想同时让example.com和www.example.com都能访问网站，于是在DNS里把www加了一条CNAME记录指向example.com。这本身没问题，问题是有些DNS管理面板不允许同一个主机名同时存在多种记录类型。更常见的问题是：你把example.com本身也添加了一条CNAME记录——这是不规范的，因为根域名通常应该用A记录而不是CNAME。

　　规则很简单：CNAME记录不能和其他任何记录共存于同一个主机名。也就是说，如果你为www.example.com设置了CNAME，就不能再给www.example.com设置A记录、MX记录或者TXT记录。根域名(example.com)原则上也不应该用CNAME，因为根域名通常需要有MX记录(收邮件)和SOA记录(区域授权)，这些和CNAME冲突。

　　三、TTL设置不合理：要么太短要么太长

　　TTL(Time To Live)决定了DNS记录在缓存中的存活时间。新手有两个极端：要么不管它，默认一天，导致换服务器IP的时候等24小时才生效;要么追求“极致”，全部设成60秒，导致每一次访问都要重新查询，网站加载变慢。

　　TTL的取舍其实很简单：稳定状态下(不需要频繁更改记录)，TTL可以设得长一些，比如3600秒到86400秒，这样可以充分利用缓存，提升解析速度。计划要换IP的时候，提前24小时把TTL降到300秒，等切换完成后再恢复原值。

　　一个典型的失败操作：某新手半夜直接改了服务器的IP地址，然后立刻把DNS里的A记录改了。他以为“改完就好了”，结果接下来一天的时间里，有的用户能打开新站点，有的还是指向旧服务器。因为各地的DNS缓存没那么快刷新。正确的做法是：换IP之前先降低TTL，等老值过期后再切。

　　四、忘记配置SPF、DKIM和DMARC，邮件被丢进垃圾箱

　　这是DNS配置里最容易被忽略、但后果最直接的问题之一。很多人建站后顺便用域名开通了企业邮箱，结果发现发出去的邮件要么对方收不到，要么直接进了垃圾箱。原因很简单：你没有告诉全世界的邮件服务器“这个域名发出的邮件是合法的”。

　　SPF记录规定了哪些服务器有权使用你的域名发邮件。没有SPF记录，很多收件服务器会认为邮件是伪造的，直接拒收或归入垃圾箱。DKIM提供数字签名，证明邮件在传输过程中没有被篡改。DMARC则告诉接收方“如果邮件没通过SPF或DKIM检查，该怎么处理”。

　　配置这三个记录其实不复杂，你的邮件服务商(腾讯企业邮、阿里企业邮、Google Workspace等)都会提供具体的值，你只需要去DNS管理面板添加对应的TXT记录即可。花十分钟配置好，能省下后续无数邮件丢件的烦恼。

　　五、SSL证书只配了www没配根域名

　　安装好SSL证书之后，打开https://www.example.com很正常，但打开https://example.com浏览器却提示“连接不安全”。这是因为你的SSL证书只覆盖了www.example.com，没有包含example.com。很多新手在申请证书时只填了一个域名，漏了根域名。

　　解决办法有两个：一是在申请证书的时候把两个域名都填上，多域名证书或者通配符证书都可以;二是配置HTTP到HTTPS的重定向时，确保两种写法都能正常跳转。更简单的方法是申请通配符证书(如*.example.com)，它可以覆盖所有的子域名，根域名需要单独加上。

　　还有一个相关的问题：证书安装了，但网站里引用的资源(图片、CSS、JS)还是走的http://，导致浏览器地址栏显示绿色小锁旁边带个黄色三角——这叫“混合内容”。检查一下你的主题设置、插件设置，把所有资源的地址都改成相对路径或者https://。

　　六、域名解析了，但忘记等生效就急着排查别处

　　这个错误太常见了。你在DNS管理后台添加了一条记录，然后立刻在浏览器测试，发现打不开，于是开始怀疑服务器配置、防火墙、端口……折腾了两小时，最后发现DNS记录其实还没生效。

　　DNS解析的生效时间取决于三个缓存：本地操作系统缓存、本地递归DNS服务器缓存、以及你设置的TTL值。最快的记录也需要几分钟才能在全球大部分节点生效，慢的可能要几小时。对于新手，我只有一个建议：添加或修改DNS记录之后，至少等10-15分钟再测试。如果还是不生效，去whatsmydns.net这样的工具上查一下，看看全球各个节点解析出来的结果是什么。

　　七、用IP地址申请SSL证书

　　这个错误听起来很离谱，但确实有新手这么干。他在服务器上安装了Nginx，用IP地址访问网站能开，于是以为可以用IP地址申请SSL证书。实际上，绝大多数CA机构不签发基于IP地址的SSL证书。就算有，价格也比域名证书贵得多，而且使用场景非常受限。

　　正规的做法是：先去域名注册商那里注册一个域名，把域名解析到你的服务器IP，然后用域名去申请SSL证书。免费证书推荐Let‘s Encrypt，每90天免费续期一次，自动化程度也很高。千万不要尝试用自签名证书——浏览器会弹出大红屏警告，普通用户根本不会点继续。

　　八、频繁修改NS记录导致解析中断

　　新手换DNS服务商的时候，直接在域名注册商那里改了NS记录。结果改了之后网站时好时坏，邮箱收不到邮件，甚至域名完全无法解析。这是因为NS记录的变更传播比普通记录慢得多，改完之后的24-48小时内，全球的DNS服务器新旧信息交替，会出现不稳定的情况。

　　正确操作是：新旧DNS服务商并行一段时间。先把新DNS服务商那边的所有记录配置好(和旧的一致)，然后在域名注册商那里添加新的NS记录，而不是直接替换。等一两天确认新DNS已经完全接管之后，再移除旧的NS记录。这个过程叫“DNS迁移”，不要图快。

　　九、开了DNSSEC又不维护，导致域名彻底瘫痪

　　DNSSEC是个好东西，它能防止DNS缓存投毒和劫持。但问题是，很多新手在域名注册商那里点了一个“开启DNSSEC”的按钮之后，就再也不管了。等到哪天换了DNS服务商，或者更新了域名记录，原来的DS记录对不上了，整个域名就变成“无法解析”的状态——没有任何提示，就是打不开，你也ping不通。

　　DNSSEC需要你在域名注册商(比如Namecheap、GoDaddy)和DNS服务商两边配合配置。如果你不确定自己在做什么，建议先不要开启DNSSEC。等你对DNS有了足够深入的理解之后再来配置，否则一旦出错，恢复的过程非常痛苦。

　　十、配置了SSL证书，但没配置HTTP强制跳转HTTPS

　　这是最让人哭笑不得的一个错误：证书装好了，https://能打开，但用户输入http://或者直接在浏览器输入域名的时候，还是走的HTTP明文传输。你花了大功夫加密，结果用户一不小心还是用的明文，相当于白干了。

　　正确的做法是在Web服务器(Nginx、Apache)里配置301重定向，把所有HTTP请求永久跳转到HTTPS。

　　配置完之后测试一下：输入http://example.com，看看浏览器地址栏是不是自动变成了https://。如果是，就对了。

　　这10个错误有没有你中过的?

　　说实话，上面这些错误，我自己刚建站的时候至少中过一半。TXT记录配错导致邮件进垃圾箱、换NS记录导致网站挂了半天、SSL证书只配了www没配根域名……每一个错误都是花好几个小时排查才找到原因。

　　这些问题的共同点是：配置的时候往往觉得“按流程做完就好了”，不会仔细检查;等出了事又不知道该从哪里查起。所以我的建议是：把你的域名管理后台、DNS管理后台、SSL证书管理工具这几个地方做一个检查清单，每次配置完了对照清单再过一遍。十分钟的检查，能省下后续几天的问题排查时间。

　　你现在用的域名和SSL证书，有没有上面说的这些问题?不妨花几分钟去检查一下。有些错误你现在没发现，不代表它不存在——只是还没出问题而已。