域名、DNS 与 HTTPS

💡 前言

当你在浏览器输入 www.google.com 并按下回车，背后发生了什么？ 这个看似简单的动作，背后涉及域名解析、DNS 查询、TLS 加密握手等一系列精密的协作过程。理解这些机制，是每个开发者的必修课——它直接关系到你的网站能不能被访问、数据会不会被窃取。

这篇文章会带你学什么？

学完这章后，你将获得：

DNS 原理：理解域名如何被翻译成 IP 地址的完整过程
记录类型：掌握 A、CNAME、MX 等常见 DNS 记录的用途
HTTPS 机制：理解 TLS 握手如何建立安全连接
证书体系：了解数字证书的信任链和验证机制
安全意识：明白为什么 HTTPS 是现代 Web 的底线要求

章节	内容	核心概念
第 1 章	DNS 解析	递归查询、迭代查询
第 2 章	DNS 记录	A、CNAME、MX、TXT
第 3 章	HTTPS 与 TLS	握手过程、加密通信
第 4 章	证书信任链	CA、根证书、中间证书
第 5 章	HTTP vs HTTPS	明文 vs 加密、安全对比

0. 全景图：从域名到安全连接

互联网的通信基于 IP 地址（如 142.250.80.46），但人类记不住这些数字。于是我们发明了域名系统（DNS）——互联网的"电话簿"，把人类可读的域名翻译成机器可读的 IP 地址。

但光能找到服务器还不够。如果通信内容是明文传输的，任何中间人都能窃听、篡改你的数据。HTTPS 就是解决这个问题的——它在 HTTP 之上加了一层 TLS 加密，确保数据在传输过程中的机密性和完整性。

💡 一次完整的网页访问

域名解析：浏览器问 DNS "www.google.com 的 IP 是多少？"，DNS 回答 "142.250.80.46"
TCP 连接：浏览器与服务器建立 TCP 三次握手
TLS 握手：双方协商加密算法、验证证书、交换密钥
加密通信：所有 HTTP 数据通过加密通道传输

1. DNS 解析：互联网的"电话簿"

DNS（Domain Name System）的工作原理就像查电话簿：你知道对方的名字（域名），需要查到对方的电话号码（IP 地址）。但互联网的"电话簿"不是一本，而是一个分层的分布式系统。

💡 DNS 解析的四个步骤

浏览器缓存：先查本地缓存，如果之前访问过这个域名，直接用缓存的 IP
递归解析器：缓存没命中，请求发给 ISP 的递归解析器（如 8.8.8.8）
逐级查询：递归解析器依次询问根域名服务器 → 顶级域服务器（.com）→ 权威域名服务器（google.com）
返回结果：权威服务器返回最终 IP，递归解析器缓存结果并返回给浏览器

层级	服务器	职责	数量
根域	Root Server	知道所有顶级域的地址	全球 13 组
顶级域	TLD Server	管理 .com、.cn、.org 等	每个后缀一组
权威域	Authoritative	存储具体域名的 DNS 记录	每个域名至少 2 个
递归解析器	Resolver	代替用户完成整个查询过程	ISP 或公共 DNS

2. DNS 记录类型：域名背后的"配置表"

DNS 不只是把域名翻译成 IP。通过不同类型的 DNS 记录，你可以控制邮件投递、域名跳转、服务发现等多种行为。理解这些记录类型，是配置域名和排查网络问题的基础。

记录类型	用途	示例
A	域名 → IPv4 地址	`example.com → 93.184.216.34`
AAAA	域名 → IPv6 地址	`example.com → 2606:2800:220:1:...`
CNAME	域名 → 另一个域名（别名）	`www.example.com → example.com`
MX	指定邮件服务器	`example.com → mail.example.com`
TXT	存储文本信息	SPF 验证、域名所有权验证
NS	指定权威域名服务器	`example.com → ns1.example.com`

💡 实际场景中的 DNS 配置

部署网站：添加 A 记录指向服务器 IP，或 CNAME 指向 CDN 域名
配置邮箱：添加 MX 记录指向邮件服务器，TXT 记录配置 SPF/DKIM 防垃圾邮件
验证域名所有权：云服务商要求你添加特定 TXT 记录来证明你拥有这个域名
负载均衡：同一域名配置多条 A 记录，DNS 轮询分发流量

3. HTTPS 与 TLS：给数据穿上"防弹衣"

HTTP 协议的数据是明文传输的——就像寄明信片，邮递员（中间人）可以随意阅读内容。HTTPS 在 HTTP 之上加了一层 TLS（Transport Layer Security）加密，相当于把明信片装进了密封信封。

TLS 握手是建立安全连接的关键步骤，它在正式传输数据之前，完成身份验证和密钥协商。

💡 TLS 1.3 握手的核心步骤

Client Hello：客户端发送支持的加密算法列表和一个随机数
Server Hello：服务器选择加密算法，返回数字证书和随机数
证书验证：客户端验证服务器证书是否可信（检查 CA 签名、有效期、域名匹配）
密钥交换：双方通过 ECDHE 算法协商出一个共享密钥（不在网络上传输密钥本身）
加密通信：后续所有数据使用协商好的对称密钥加密传输

特性	TLS 1.2	TLS 1.3
握手往返次数	2-RTT	1-RTT（首次）/ 0-RTT（恢复）
密钥交换	RSA 或 ECDHE	仅 ECDHE（前向安全）
加密算法	支持较多旧算法	仅保留安全算法
性能	较慢	更快

4. 证书信任链：凭什么相信这个网站？

TLS 握手中最关键的一步是"证书验证"。浏览器怎么判断一个网站的证书是真的，而不是攻击者伪造的？答案是证书信任链——一个层层背书的信任体系。

💡 证书信任链的三层结构

根证书（Root CA）：由受信任的证书颁发机构签发，预装在操作系统和浏览器中。这是信任的"锚点"。
中间证书（Intermediate CA）：由根 CA 签发，用于签发终端证书。根 CA 不直接签发网站证书，是为了安全隔离。
终端证书（Leaf Certificate）：你的网站实际使用的证书，由中间 CA 签发，包含域名、公钥、有效期等信息。

证书类型	验证级别	颁发速度	适用场景
DV（域名验证）	仅验证域名所有权	分钟级	个人网站、博客
OV（组织验证）	验证组织身份	数天	企业官网
EV（扩展验证）	严格验证组织	数周	银行、金融机构
通配符证书	覆盖所有子域名	视类型而定	多子域名场景

5. HTTP vs HTTPS：为什么加密是底线？

2024 年，全球超过 95% 的网页流量已经通过 HTTPS 传输。Chrome 浏览器会对 HTTP 网站标记"不安全"警告，搜索引擎也会降低 HTTP 网站的排名。HTTPS 不再是"可选项"，而是现代 Web 的底线要求。

维度	HTTP	HTTPS
数据传输	明文，可被窃听	加密，无法被窃听
身份验证	无，无法确认服务器身份	有，通过证书验证服务器
数据完整性	无保护，可被篡改	有保护，篡改会被检测
端口	80	443
SEO 影响	搜索排名降低	搜索排名加分
浏览器表现	显示"不安全"警告	显示锁图标

💡 免费获取 HTTPS 证书

Let's Encrypt 是一个免费、自动化的证书颁发机构，让任何网站都能零成本启用 HTTPS。配合 Certbot 工具，可以一键申请和自动续期证书。大多数云平台和 CDN 服务商也提供免费的 SSL 证书。

总结

域名、DNS 和 HTTPS 是互联网基础设施的三大支柱。DNS 让我们用人类可读的名字访问网站，HTTPS 确保通信过程安全可信。

回顾本章的关键要点：

DNS 是分层系统：根域 → 顶级域 → 权威域，逐级查询，缓存加速
记录类型各有用途：A 记录指向 IP，CNAME 做别名，MX 管邮件，TXT 做验证
TLS 握手建立信任：证书验证 + 密钥协商，TLS 1.3 只需 1-RTT
证书信任链：根 CA → 中间 CA → 终端证书，层层背书
HTTPS 是底线：免费证书（Let's Encrypt）让加密零门槛

延伸阅读

How DNS Works - 漫画形式讲解 DNS 工作原理
Let's Encrypt 文档 - 免费 SSL 证书申请指南
Cloudflare Learning Center - DNS 和网络安全系统教程
TLS 1.3 RFC 8446 - TLS 1.3 协议规范
SSL Labs - 在线检测网站 HTTPS 配置质量

📄 This content is adapted from the Easy-Vibe project by Datawhale, licensed under CC BY-NC-SA 4.0. You are free to share and adapt this material with attribution, for non-commercial purposes, under the same license.