choose-domain-registrar-and-dns

我玩过的域名不算多,不到 50 个,和域名大佬们完全不能比,但也交了不少学费,现在除了剩下几个砸手里的基本退烧了应该,按照博客惯例,是时候水篇文章阶段总结下自己的经验了。本文将聊聊我用过的部分国外域名注册商和 DNS 解析服务。顺便穿插两个小剧场,纸上谈兵一下成为 ICANN 认证注册商要花多少钱以及关于 CNAME Flattening 和 DNSSEC 的简单介绍与看法。

域名注册商

关于选择域名注册商,一个不靠谱的建议是:遇事不决看群众的选择,这里分享两个统计注册商托管域名数量的网站:

total-domains-by-registrar

虽然数据不是最新的,也多少有一些参考价值。同时你感兴趣的话也可以探索下两字母 .com 域名的注册情况,再看看大佬们的选择,虽然大多是公司拥有,不过其中也有不少个人玩家,比如神秘的 Paul Kocher 大佬拥有 lk.com 和 mn.com 两个好东西,注册在 Google Domains,用途是跳转到个人主页。

我自己对于域名注册商的选择,首先重要的域名不考虑国内注册商,其次是可靠性和能接受的价格,再者是偏向于 UI 简单点,UX 比较好的,因此不太喜欢产品线混乱,后台充斥着虚拟主机、邮件等其它附加服务推广小窗口的注册商。

其实每家服务商你都能在网上搜到不少负面评价,而且不少服务商下面都能看到客服回复慢,随意 hold 域名,直接封账号等等问题(你可以在 Trustpilot, Better Business Bureau, sitejabber 等网站探索),似乎很难找到一家完美的域名服务商(CSC, MarkMonitor, Comlaude 等专注品牌保护的服务商除外,毕竟你给够了钱),只能找到相对满意的,因此以下内容不构成任何推荐,仅为个人体验供参考。

*以下涉及到的续费价格截至 2023-04-03

Godaddy

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $20.18/$23.17/$21.17
体验指数:
简单总结:虽然 Godaddy 在托管域名数量上冠绝群雄,也是国外不少大公司和大佬的选择,但近年来套路多,负面事故不少,风评越来越差,续费价格也并不实惠,没用多久就转移走了。

NameSilo

  • 界面设计:
  • 后台功能:
  • 工单服务:
  • 续费价格:com/net/org -> $10.95/$11.79/$10.79
体验指数:
简单总结:最喜欢的注册商之一,用的时间最长。价格实惠,无套路,可靠性高,后台功能齐全,缺点是设计有些过时,网站响应有点慢,新网站折腾几年了也没替换完成,综合来看是非常推荐的商家。

Dynadot

  • 界面设计:
  • 后台功能:
  • 工单服务:
  • 续费价格:com/net/org -> $10.99/$11.99/$10.99
体验指数:
简单总结:也是一家有二十年历史的老注册商了,设有国内办事处支持中文客服,网站设计美观,后台功能齐全,用着很顺手,在国外用户中口碑很不错,连续几年蝉联 NamePros 论坛最受喜爱商家。

Namecheap

  • 界面设计:
  • 后台功能:
  • 工单服务:
  • 续费价格:com/net/org -> $14.58/$14.98/$14.98
体验指数:
简单总结:后台设计一般,功能齐全,工单支持也很快,在国外口碑不错,经常有促销活动,并且价格很有吸引力。但 Namecheap CEO 曾在 Hacker News 上做出不愿出卖灵魂在中国从事商业活动 的迷惑发言,就让人犹豫。

Name.com

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $15.99/$17.99/$12.99
体验指数:
简单总结:老牌注册商,设计简洁大方,有新用户注册优惠,并不时推出低价活动,有很多铁粉,但对我来说续费价格没有足够吸引力,并且开启 Whois Privacy 需要使用优惠码的奇怪逻辑导致未作为主力使用。

Gandi

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $17.75/$19.25/$17.96
体验指数:
简单总结:法国注册商,设计简洁大方,博客写得不错,支持的域名齐全,价格偏高,不过赠送两个域名邮箱,近期公布了被 Total Web Solutions 收购合并成立为新品牌 Your.Online 的消息,同时可能将取消免费的域名邮箱转而收费 £2.99/用户/月。

porkbun

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $9.73/$11.48/$10.72
体验指数:
简单总结:赛场新星,凭借超低的价格和不时的免费注册域名活动赢得了不少用户的心,网站设计和后台功能都不错,不过在网上看到了一些关于处理 abuse 投诉操作流程上的差评和吐槽,让我不敢 all in,虽然正常使用应该不会有问题。

internet.bs

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $10.01/$13.05/$12.29
体验指数:
简单总结:低价活动时注册过几个域名,支持很多小众国家域名,性价比可能会意外的高,虽然是老牌注册商,但出于对网页颜值的偏见,不是很合我的口味。

Google Domains

  • 界面设计:
  • 后台功能:
  • 工单服务:
  • 续费价格:com/net/org -> $12/$12/$12
体验指数:
简单总结:简单、实用、信仰加成,精神土耳其人薅羊毛聚集地,虽然我用的美区,但出于对可能会在未来某一天被谷歌莫名其妙 ban 账号的奇怪幻想,以及只支持信用卡支付,未作为主力使用。

Cloudflare Registrar

  • 界面设计:
  • 后台功能:
  • 工单服务:未使用
  • 续费价格:com/net/org -> $9.15/$10.10/$10.11
体验指数:
简单总结:所有域名注册都是 at cost 成本价,无套路,对我来说几乎完美,唯一缺点是不能自定义 NS,绑定使用他家的一条龙服务,除非选择 $200/月的商业套餐(虽然目前可以通过 API 设置第三方 NS,但不知道是否违反 ToS,不推荐),如果没有特殊需求,是个养老的好去处。

小剧场 — 成为 ICANN 认证注册商要花多少钱?

写到这里时,突然冒出一个想法,成为 ICANN 认证注册商要花多少钱?ICANN 在官网上给出了成为认证注册商的参考花费,那么当你拥有大量域名时,成为 ICANN 认证注册商能否帮你省钱呢?以 .com 域名举例:

  • 一次性申请费 $3500,不支持退款
  • 年度认证费 $4000,每年一交
  • 季度运营费 $400 ~ $2000,ICANN 收取的运营费,由所有认证注册商分摊,取决于域名数量
  • 域名注册费 $8.97,Verisign 收取,每个域名每年
  • 域名服务费 $0.18,ICANN 收取,每个域名每年
  • $500000 以上商业保险保额,保险大约 $500 ~ $1000 每年
  • $70000 以上流动资金证明
  • 高可靠性的域名注册系统,包括注册、维护、管理、DNS 服务等功能,可使用第三方服务

抛开公司年审费用、DNS 系统和其它我没考虑到的费用不算,如果你持有一万个 .com 域名,每个每年成本在 $10.6 左右,因此通过成为注册商省钱似乎并不容易,但你能轻松收获来自朋友和网友的崇拜。

同时根据 Verisign 在 2018 年与美国商务部达成的提价协议,从 2021 年开始的 10 年内,Verisign 可以每年(除了 2024 年和 2025 年外)将 .com 价格提高 7%,最后可能会上涨至 $13.50,因此上面计算的成本还会继续上涨。

DNS 解析

当然,这里说的是权威 DNS 解析服务(Authoritative Nameserver)。同时,DNS 解析服务的钱在你在注册域名的时候已经交给注册商了,但不少注册商提供的 DNS 服务只能说是能用而已,普遍有生效慢,功能少等问题,所以大家往往选择第三方 DNS 解析服务。

其实对于个人网站或者小型项目网站来说,90% 的情况下没必要使用付费 DNS 服务,大厂的免费的服务完全足够。而且有一定流量的网站查询结果基本都会缓存到运营商(ISP DNS)或者公共(Public DNS)递归服务器(DNS Recursive Resolver)上,不靠谱的说对为大部分用户提供付费 DNS 服务带来的体验提升是基于概率的。

不过追求好的 DNS 不只是为了速度,极客玩家和商业公司更多是为了分区解析、负载均衡、宕机检测等进阶功能来保证 SLA 服务质量。本站虽然是个人网站,也没有流量,但还是想看看下加钱的世界,所以用过一些便宜的付费 DNS 服务。

*国外解析速度可以参考 DNSPerf 的数据,现在主流 DNS 服务商都支持一些常见的功能,如 Anycast 解析,主从服务器设置,IPv6 解析等等,下面不再提及

Hurricane Electric DNS

  • 大陆速度:
  • 分区解析:不支持
  • DNSSEC:不支持
  • CNAME Flattening (ANAME/ALIAS):不支持
  • DNS 别名 (Branding/Vanity/White-Label Name):不支持
  • 使用套餐:免费
体验指数:
简单总结:折腾过 IPv6 隧道和 DDNS 的朋友肯定多少知道这家,HE.net DNS 给我的印象就是老牌服务商,资源雄厚,非常稳,不折腾,界面虽然复古但看着很舒服。不过新特性支持较慢,一个 ACME Challenge API 网友呼吁多年最后也只推出了个 Dynamic TXT Key。

ClouDNS

  • 大陆速度:
  • 分区解析:付费支持
  • DNSSEC:付费支持
  • CNAME Flattening (ANAME/ALIAS):支持
  • DNS 别名 (Branding/Vanity/White-Label Name):支持(需付费套餐)
  • 使用套餐:PREMIUM DNS($2.95/月)
体验指数:
简单总结:有免费服务,但付费版才有 Anycast 节点,目前国内电信请求走香港 PCCW 查询速度不错,联通走日本 NTT 直连,移动绕路。近几年经历了涨价与套餐量降配,如果只需要托管一个域名的话,目前 $2.95/月性价比不高。

Cloudflare DNS

  • 大陆速度:
  • 分区解析:付费支持
  • DNSSEC:支持
  • CNAME Flattening (ANAME/ALIAS):支持
  • DNS 别名 (Branding/Vanity/White-Label Name):付费支持
  • 使用套餐:免费
体验指数:
简单总结:全球解析速度(大陆除外)最快的 DNS 服务,免费,直观好用管理面板,轻松搭配 Cloudflare CDN,不过仍不支持批量操作记录(可以通过 API 实现)。

AliDNS / DNSPod

  • 国外速度:
  • 分区解析:支持
  • DNSSEC:支持(需付费套餐)
  • CNAME Flattening (ANAME/ALIAS):支持
  • DNS 别名 (Branding/Vanity/White-Label Name):不支持
  • 使用套餐:AliDNS 个人版(¥48/年)/ DnsPod 专业版(¥188/年)
体验指数:
简单总结:两者国内解析速度都很快,体验很好。AliDNS 第一档收费价位比 DNSPod 低,但分区解析精细度差一些,宕机切换也为单独收费功能,DNSPod 经常有活动,价格反而比 AliDNS 低,性价比更高;国外解析速度两者都差不多,虽然有 Anycast,但路由很迷,阿里稍好一点点,但体验都不是很好。

Amazon Route 53 / Azure DNS

  • 大陆速度:
  • 分区解析:支持
  • DNSSEC:支持(需使用额外 KMS 服务,$1/月)
  • CNAME Flattening (ANAME/ALIAS):只支持自家 CloudFront, S3 等服务
  • DNS 别名 (Branding/Vanity/White-Label Name):Route 53 支持
  • 使用套餐:$0.5/域名/月 + 查询次数按量付费
体验指数:
简单总结:两者价格一样,国内解析速度一般,胜在价格不贵,稳定性高。其中 Azure DNS 更快一些,Anycast IP 都有周边日本/新加坡等亚太直连节点,而 Route 53 四组中只有两组有亚太节点,取决于递归服务器是并发还是轮询,靠抽奖。如果你的解析量很少,并在使用 Lightsail,可以考虑免费的 Lightsail DNS,只支持基本的解析记录,前 300 万次查询免费(此处有坑,默认 TTL 为 60s 并且不能修改,如果网站稍微流量大一些的话,最后很可能比使用 Route 53 还贵),同等替代还有 Google Cloud DNS(域名单价更低 $0.2/月,第一个 NS-CLOUD-[X]1.GOOGLEDOMAINS.COM 国内被墙,但几乎不影响使用)。

其实 NS1 也想尝试,目前国内请求三网走香港 CN2 查询,每月 50 万次免费查询,但被 $45/百万次的超量价格劝退,近期 IBM 宣布了计划收购 NS1,不知道以后会不会推出更友好的套餐选择。

简单来说,选择免费 DNS 很容易,面向国内选择 DNSPod 或 AliDNS,面向国外选择 Cloudflare 或 HE DNS 基本就万事大吉了。但如果反过来,国内使用 Cloudflare 或 HE DNS,国外使用 DNSPod 或 AliDNS 体验就可能不是那么好了,目前还没找到国内外体验都不错的免费 DNS 服务,鱼与熊掌不可兼得,唯有加钱或者通过一些第三方服务(如 Vercel 免费 DNS 使用的是 NS1)曲线解决。

付费 DNS 的选择其实也不复杂,只要找到对大陆有直连查询节点的知名厂商基本都行,DNS 行业有很多老牌服务商口碑都不错,以及云计算巨头们的 DNS 服务也很靠谱。进阶企业级也可以考虑 DYN, UltraDNS, Akamai DNS 之类的商家,世界加钱可及 ,显然,我都没用过

小剧场 2 — 关于 CNAME Flattening 和 DNSSEC

CNAME Flattening 和 DNSSEC 这两个特性是一些进阶玩家喜欢的,不过,似乎也没那么需要?

CNAME Flattening/ANAME/ALIAS

也就是大家常说的 CNAME 拉平,具体可以看 Cloudflare 的介绍文章 Introducing CNAME Flattening: RFC-Compliant CNAMEs at a Domain’s Root。简单来说就是 CNAME 记录用来将一个域名地址(Fully Qualified Domain Name)指向一个 hostname,一般是为了使用 CDN 或者防御 DDoS 攻击,但由于历史原因,RFC 规定当一个节点添加 CNAME 记录时,不应该再添加其它记录。

A CNAME RR identifies its owner name as an alias, and specifies the corresponding canonical name in the RDATA section of the RR. If a CNAME RR is present at a node, no other data should be present; this ensures that the data for a canonical name and its aliases cannot be different.

因为此时你的域名成为了 CNAME 记录中指向域名的别名(Alias),也就是一个备胎,一切记录都应该以指向域名的记录为准。如果你给子域名(比如 www.atpx.com 或者 cdn.atpx.com)添加 CNAME 记录,多数情况下没问题,它只是一个单纯的备胎,没有多余的价值。不过给裸域(Apex/Root/Naked Domain Name,比如 atpx.com)添加 CNAME 记录就可能出现问题了。虽然也没规定裸域不能用 CNAME,但只能用一点点,只有 A 记录的情况下没多大问题,但一般裸域都会添加 MX 记录设置邮箱,还有重要的 SOA, NS 等记录,这时就出问题了。

用常见的 CNAME 记录与 MX 记录冲突举例。当你用域名邮箱接收邮件时,发件方首先需要获得一个收件地址,也就是你的域名的 MX 记录,DNS 服务器会按照 RFC 规定按照下面的流程查询:

权威 DNS 收到解析请求 -> 查到 CNAME 记录(发现是备胎)-> 查找 CNAME 指向域名的 MX 记录并返回

如果 CNAME 指向域名上没有 MX 记录或者与你自己域名上设置的不一致,就会导致收不到邮件,显然一般情况下 CDN 厂商不会单独为你在 CNAME 域名上设置 MX 记录。

为了满足大家对裸域使用 CNAME 记录的需要,CNAME Flattening 应运而生,此时当收到查询请求时,你的 DNS 服务商通过设置一些手法,只请求 CNAME 指向域名的 A 记录,得到后返回,因此不会影响到其它记录,解决了冲突。虽然是一种不规范的实现,但大家都喜闻乐见。

不过从我的体验来看似乎并不完美,每个 DNS 服务商对 CNAME Flattening 的实现方式都可能不一样,但不少服务商都存在的问题是似乎不能很好的适配 GeoDNS 分区解析。举例来说,理想的 CDN 节点应该是距离你地理位置最近的节点,而当你把 DNS 请求的工作交给提供 CNAME Flattening 功能的 DNS 服务商后,得到并不是你所在实际地理位置的最佳节点,而是该 DNS 服务商某一 DNS 服务器的最佳节点。CDN 服务商 bunny.net 在一篇博客文章 How ANAME DNS records affect CDN routing 中有提到这个问题;另一家著名 CDN 服务商 Fastly 也表示不推荐这种做法,同时给出了更好的解决方案,可以直接将 A 记录指向一个 Anycast IP 地址来实现 CDN 功能。所以除非不得已的情况下,建议尽量还是按照规范来,避免潜在的问题。

DNSSEC

关于 DNSSEC(DNS 安全扩展),这里不多介绍,推荐去看看 ICANN 的介绍文章 DNSSEC - 它是什么?为什么说它很重要? 我最开始在 2020 年知道这个东西的时候是很高兴的,可以防止 DNS 投毒?厉害!网上的文章也都在强调说有多重要,所以直接给全部域名设置上,后来发现国内公共 DNS 服务基本不支持,国外 DNS 也早被劫持完了,DoH/DoT 这些加密查询毫无意外的被阻断…不过也放着一直没管,毕竟没事坏处,直到最近 DNS 改到 Route 53 时才发现这玩意在 Route 53 上设置时还要用到 KMS 被曲线收费,为了衡量下花这钱值不值,Whois 十几个大公司的域名,两个问题在脑海中油然而生:

  • 上世纪 90 年代就提出的技术,为什么直到今天普及率还是这么低呢?
  • 为什么 Apple, Google, Microsoft 这些科技大公司甚至大多数域名注册商和 DNS 服务商自己都不使用?

一番探索后发现原因并不好总结,有说法是配置 DNSSEC 比较麻烦,对于大公司来说,域名管理流程很复杂也很严格,而且一旦出错将导致域名失联,造成很大的损失。不过我认为比起这些,他们面临的安全问题挑战严峻多了,特别是金融行业,如果能提供足够的安全保障,再麻烦也会用上,这侧面说明 DNSSEC 优先级并不高?其次 DNSSEC 仍然是通过 UDP 查询,整个查询过程是公开的,不能防止信息泄漏。

事实上,根据以前 Cloudflare 的统计,Alexa 排名前 100 万网站中只有 15643 个网站启用了 DNSSEC,同时 Cloudflare 也介绍了一些 DNSSEC 当前存在的问题和挑战,甚至还在网上看到了一些公开反对 DNSSEC 的文章,例如 Against DNSSEC

具体技术上的原因作为非专业人士也吐不出多少墨水,所以最后没得到靠谱的结论。不过个人还是持有积极态度,我认为加上 DNSSEC 是件有意义的事,可能历史的发展就是如此缓慢,往往需要一些助推剂,也可能是需要一个更好的技术来引发变革。希望 DNSSEC 或者类似的技术能尽早普及,但从现实来看,需要域名注册商,DNS 服务商共同推进,再考虑到国内情况,应该是属于有生之年系列。至于目前要不要花这个钱,还是先留着每个月多喝两瓶可乐。

总结

这篇文章写得真累…总的来说,对于普通用户,选择一个大的域名注册商基本不会有太大问题,只要不乱填资料,不做容易被 Abuse 的违规网站。而一般情况下网站速度瓶颈也不在 DNS 上,在没有钞能力上。 但如果碰到没有递归缓存的解析,用没有国内优化的权威 DNS 服务确实会带来可感知的影响,尤其是在晚高峰时期,光是 DNS 解析可能都要花 1~2 秒,尽管对于 1 IP 都个人网站来说也不是大问题。

这里能给的建议是,不要给自己画上圆圈,每个人的需求不一样,如果发现可能有更可靠更适合自己的服务商,为什么不去试试呢,这才是折腾人的打开方式。但最后都得为自己的选择买单,只要折腾上这些东西,是不可能不交学费的🤔。

如果你碰巧需要注册域名,又碰巧想试试 NameSilo (affiliate link),新用户可以在注册域名的时候使用 1 美元优惠码:get1offnow