Papa Labs

把域名 DNS 从注册商搬到 Cloudflare:顺手把全站 HTTP 变 HTTPS

集团有个 .com.tw 域名,DNS 一直托管在台湾本地注册商的「DNS 自管」面板上,网站也还在裸跑 HTTP——2026 年了,浏览器地址栏挂着「不安全」三个字。把 DNS 搬到 Cloudflare,一次解决 DNS 管理和 HTTPS 两个问题。

为什么搬

  • 注册商面板功能有限(固定组数的记录、没有 API、没有代理/CDN);
  • 网站源站不支持一键 HTTPS,改造成本高——而 Cloudflare 的边缘证书可以在不动源站的前提下给访客侧上 HTTPS;
  • 集团其他域名已经在 Cloudflare 上,统一管理少一个面板。

迁移步骤

  1. Cloudflare 添加站点:free plan 足够。Cloudflare 会自动扫描现有 DNS 记录,逐条和注册商面板核对(自动扫描会漏记录,特别是 TXT 和不常用的子域名——这步不细心,迁移后邮件验证/SPF 就出事);
  2. 在注册商面板改 nameserver:把原来的 NS 记录换成 Cloudflare 分配的两个 NS。注册商的「DNS 自管」页面就是干这个的;
  3. 等 NS 生效(TTL 决定,通常几分钟到几小时),Cloudflare 面板会显示 zone active;
  4. 开 HTTPS:SSL/TLS → Edge Certificates:

Cloudflare 的 Always Use HTTPS 开关

一个开关的事(真实截图):所有 http 请求 301 到 https

  • Always Use HTTPS 打开——所有 HTTP 请求 301 跳转到 HTTPS;
  • 加密模式按源站情况选(源站没证书就先 Flexible,有自签证书用 Full,最终目标 Full (strict));
  • 稳定运行后再考虑开 HSTS(开了就不容易回头,先确认所有子域名都 HTTPS 正常)。

两个容易翻车的点

  1. 邮件记录:MX、SPF/DKIM/DMARC 的 TXT 记录必须一条不漏地搬过去,而且 MX 指向的主机名不要开 Cloudflare 的橙云代理(代理只管 HTTP,邮件流量会被切断);
  2. 验证期重叠:NS 切换的传播期内,两边的 DNS 都可能被查询到——迁移前先把两边记录改成完全一致,再切 NS,就不存在「切换窗口」问题。

教训

  1. DNS 迁移的风险不在「切换」而在「遗漏」——先把记录清单逐条抄下来核对,再动 NS;
  2. 对不能动源站的老网站,Cloudflare 边缘 HTTPS 是性价比之王:不改一行代码,访客侧就是全程加密 + 「安全」锁标;
  3. 迁完把注册商面板里的旧 DNS 记录截图存档——万一要回滚,这就是唯一的底。
← 全部文章