1.1. 域名解析、备案及SSL证书管理
本章节由资深的运维工程师张凯提供
1.1.1. 前言
此帮助文档皆在帮助了解公网域名如何注册, 各类备案, 以及介绍关于业务上线前需要做的准备工作。
注意事项:申请ICP经营性备案,要求营业执照上包含”电信业务”、”增值电信业务”或”第二类增值电信业务”经营范围。
1.1.2. 域名介绍
域名简介
域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。
由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
域名解析
例如,www.baidu.com 是一个域名,和IP地址180.101.49.11 相对应。DNS就像是一个自动的电话号码簿,我们可以直接拨打baidu的名字来代替电话号码(IP地址)。我们直接调用网站的名字以后,DNS就会将便于人类使用的名字(如www.baidu.com)转化成便于机器识别的IP地址(如180.101.49.11 )。
域名种类
顶级域名(Top-level domains,first-level domains(TLDs),也翻译为国际顶级域名。)
例:
通用:
.com – 供商业机构使用,但无限制
.info – 供资讯性网站使用,但无限制
.net – 原供网络服务供应商使用,现无限制
.org – 原供不属于其他通用顶级域类别的组织使用,现无限制
.xyz – 无限制
通用限制:
.biz – 供商业使用
.name – 供家庭及个人使用
.pro – 供部分专业使用
国家代码顶级域:
.cn 中国
.org.cn 中国政府机构
一般建议注册和使用.com顶级域的域名,其它顶级域的域名做为备用或者抢先注册.
域名级别与名称规则要求
域名分为不同级别,互联网顶级域名(例如:.com代表公司企业,.net代表网络供应商,.org代表非盈利组织)、一级域名(例如:tf56.com)、公司二级域名(例如:oms.tf56.com),二级域名的长度不超过20个字符。
不推荐使用中文域名,原因如下:因搜索引擎不收录,不支持;大家使用习惯很难改变;解析配置复杂。通常我们向主管部门申报的域名需要包含顶级域名+一级域名,并需要指定该域名的所有者;二级域名从属于一级域名,由一级域名所有者负责管理。原则上不允许使用三级域名,如:aaa.bbb.tf56.com,原因为https通配符证书不支持。
1.1.3. 公网域名注册
若要申请新公网域名,需求方首先要理清域名所归属的公司主体、域名开展业务类型,确定下未被注册的域名(是否已经被注册,可到wanwang.aliyun.com查看)。
需求方需注册对应主体的阿里云账号,并注册所需域名,需求方要配合提供所需的注册材料,进行账号实名认证(账号和域名实名认证),并承担域名注册费。
域名注册所需资料
申请域名名称(确保未被注册)
营业执照彩色电子档 (以公司名义注册)
技术负责人及联系方式
域名联系人及联系方式(可同技术负责人)
每个需要注册域名的公司主体分别创建独立的阿里云账号,便于为不同的公司主体开具增值税专用发票.
域名注册后必须进行实名认证才能配置解析,公司域名一般以公司名义注册且使用营业执照进行实名认证.
实名认证所需时间: 一般一个工作日。
关于注册费
不同顶级域价格不同, 一般.com的为70元左右/年, 费用由需求方所在公司承担,需求方可先垫付,然后根据开具的增值税专用发票报销。
1.1.4. 域名过户
域名过户指的是将域名的归属权从A公司变更为B公司,若使用中的域名,还需将域名对应的备案(经营性、非经营性、公安部等备案)和其他合规性备案一起变更。因使用中的域名变更难度较为复杂,所以原则上域名不允许过户。
如若在用域名必须过户,须遵循”特事特办,一事一议”原则。需要转出转入方法务、转出转入方业务单元负责人、信息部门等多方商议和确认过户变更可行性。
1.1.5. 域名解析
介绍域名解决首先介绍下域名的https证书
为何https?
http协议是一种超文本传输协议,它是无状态的、简单快速的、基于TCP的可靠传输协议,但是http是明文传输的,在互联网传输的时候会有很大安全隐患,相当于任何人可以读取http通信的信息,数据包被劫持后,毫无隐私和安全可言。为了使数据加密传输,在传输之间加一个负责数据加密的传输层(SSL/TLS),保证在网络传输过程中数据是加密的。
http三大风险:
窃听风险:第三方可以获知通信内容。
篡改风险:第三方可以修改通信内容。
冒充风险:第三方可以冒充他人身份参与通信。
https即Hypertext Transfer Protocol Secure。由于其安全层使用的是TLS/SSL,因此https也可以称为http over TLS或http over SSL。
“https证书”又叫“SSL证书”、“SSL安全证书”、“SSL数字证书”,目前应用广泛,发展迅速。
SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。
https解决方案:
所有信息都是加密传播,第三方无法窃取。
具有校验机制,一旦被篡改,通信双方会立即发现。
配备身份证书,防止身份被冒充。
典型案例:APP或WEB网页涉及http协议的会被插弹小广告
安全要求
安全要求,无特殊情况,所有上线业务必须使用https,不允许使用http。
https证书分类:
按验证等级分类:
| 类型 | 信任等级 | 审核时长 |
| DV
(Domain Validation) SSL |
信任等级普通,只需验证网站的真实性便可颁发证书保护网站 | 无需人工审核,快速颁发 |
| OV
(Organization Validation)SSL |
信任等级强,须要验证企业的身份,审核严格,安全性更高 | 需要人工审核,证书包含企业认证信息 |
| EV
(Extended Validation)SSL |
信任等级最高,一般用于银行证券等金融机构 | 人工严格审核,颁发之后可以使网站域名在浏览器地址栏变成绿色 |
一般企业采用OV证书即可满足信任等级要求。
按保护域名数量分类:
1)单域名型证书, Single Domain SSL Certificates,一张SSL证书保护一个域名(如a.tf56.com),一个网站的安全。
2)多域名型证书 Multi Domain SSL Certificates,一张SSL证书可以保护多个域名,多个网站的安全,多域型SSL证书。支持任何域名,可以是不同的顶级域名(如:addfs.com,bbbbc.com, example.com)。
3)通配符型证书, Wildcard SSL Certificates,一张SSL证书可以保护相同主域名下所有的子域名的安全。通配型证书只支持*.domain.com通配符子域名(如:a.tf56.com, b.tf56.com、c.tf56.com),不支持其他类型如三级域名a.b.tf56.com。
其中,单域名型证书和多域名证书分为三种验证等级:DV, OV, EV。 而通配符型证书只有DV和OV两种。
证书价格
单域名证书分免费版和付费版,通配符域名只有收费版(集采价2525元/年,GlobalSign OV)。
免费证书是临时测试使用的,没有任何赔付保障,出现CA问题没任何赔付,OCSP(在线证书状态协议(OCSP,Online Certificate Status Protocol)的稳定性和速度上免费证书也是不如收费证书。不建议核心生产业务使用免费证书。
证书部署
证书付费由业务方所在公司承担,可由信息部门配置部署。
域名解析配置
域名注册并实名认证后, 可以配置解析服务器,解析服务器一般由信息部门统一配置并管理。外网DNS解析一般由域名解析服务商进行配置,内网DNS解决一般由内网DNS服务器进行配置,SSL证书一般部署在代理服务器(Nginx/Apach)或者是业务发布服务器(Tomcat/IIS)。
1.1.6. 关于”非经营性备案”
《互联网信息服务管理办法》指出互联网信息服务分为经营性和非经营性两类。未取得许可或者未履行备案手续的,不得从事互联网信息服务。
非经营性互联网信息服务
非经营性互联网信息服务:指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。(比如企业的宣传性质的官网)
对非经营性互联网信息服务实行备案制度,详见《非经营性互联网信息服务备案管理办法》(ICP备案)
非经营性备案/费用
域名注册后,公开向互联网提供服务前,必须进行非经营性备案,目的是通过互联网接入服务商向通管局报备域名所开展的非经营业务以及要解析到的公网IP地址清单.
费用:免费办理
非经营性备案所需材料
| 序号 | 材料名称 | 说明 |
| 1 | 营业执照 | 彩色扫描件或彩色电子档原件(电子档) |
| 2 | 法人身份证 | 彩色扫描件 (电子档) |
| 3 | 网站负责人(可以不是法人)
身份证 |
彩色扫描件(电子档) |
| 4 | 网站负责人特定幕布照片 | 现场拍摄(电子档) |
| 5 | 域名证书 | 去域名注册商下载(电子档)-(证书持有者要跟主办单位名称一致) |
| 6 | 网站备案授权书 | 盖章纸质件(章盖右下角,一个域名一张) |
| 7 | 网站真实性核验单 | 盖章纸质件(章盖右下角,一个域名一张) |
| 8 | 信息安全管理协议书 | 盖章纸质件 |
注: 每个省通管局所要求可能有差异,上图所在通管局为杭州-萧山电信
备案审核时长
非经营性备案必须经过网络服务接入商(公网IP提供商),向其递交所要求的材料,经过服务接入商的审核后,材料递交至通信管理局审核,每个省通管局的审核所需时长不确定,一般是两个礼拜内审核完毕.
备案信息查询
备案通过后通管局会以短信和邮件形式通知,然后备案信息公开至工业和信息化部政务服务平台(beian.miit.gov.cn/…).
按照《非经营性互联网信息服务备案管理办法》要求 ,获取备案号后, 在网站首页底部中间位置,必须标识备案号并链至”http://beian.miit.gov.cn/”。例如”京ICP备999999号”(此备案号为例子,请一定更换成自己的备案号)。
备案信息变更
如果备案信息(单位/个人信息、联系信息、网站信息、域名信息)发生了变化,必须尽快通过服务接入商更新备案信息,备案信息变更所需的材料同备案材料.
备案注销
已备案域名如不再使用,需变更备案删除不使用的域名,已备案网站如不再使用,需提交网站备案注销手续。
1.1.7. 关于”公安联网备案”
依据 《计算机信息网络国际联网安全保护管理办法》相关规定,各网站在工信部进行ICP备案成功后,或网站部署在非中国内地的服务器上但是为中国内地(大陆)提供服务,则需在网站开通之日起30日内登录全国互联网安全管理服务平台提交公安联网备案申请。
全国互联网安全管理服务平台: beian.gov.cn/…
费用:免费办理
1.1.8. 关于”经营性备案”
经营性互联网信息服务:指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。(如电商类、互联网广告类等类型的网站)
国家对经营性互联网信息服务实行许可制度,(ICP增值业务许可证,简称ICP证, 全称:中华人民共和国电信与信息服务业务经营许可证)
互联网信息经营许可证
中华人民共和国电信与信息服务业务经营许可证(简称:ICP许可证)是指一般性经营性网站的主办者向当地区县申请的证书证明,即《中华人民共和国电信与信息服务业务经营许可证》。 根据《国务院互联网信息服务管理办法》(国务院292号令)的第三条规定:经营性ICP备案是指:企业通过网站从事有偿信息服务根据相关部门规定需要办理进行经营性ICP备案,实际也就是我们常说的ICP许可证。
是否需要办理ICP证
企业凡经营有偿信息发布网站,则需办理ICP许可证规范业务。即,包含互联网有偿信息服务的企业,均需要办理ICP证。具体来说,企业的主要经营业务,如果包括在线销售服务、在线点击支付、点击广告招商、会员收费等业务内容,则需要办理。 特别需要指出,有会员收费、点击收费的业务内容,则强烈建议办理,以免造成不必要的风险。 若未经审批擅自开展业务,涉嫌违规经营,由相关主管部门依法责令限期改正,给予罚款 、责令关闭网站等行政处罚;构成犯罪的,依法追究刑事责任。
ICP证的办理/审核周期/费用
ICP证的申请门槛相对较高,自助准备申请文件准备时间相对不可控。 一般至少需要60个工作日以上,免费办理。
可以购买业务许可证咨询代理服务(中介/黄牛服务),需要代理服务费用,申请周期可缩短至30个工作日左右(每个省份快慢有差异)
办理指南详见(所需材料可详见办事指南):办事指南
办理系统详见:统一身份认证系统
电信业务分类目录
一般开展的业务所需办理的类目为第二类增值电信业务中的B25 信息服务业务和 B21在线数据处理与交易业务.
B25 信息服务业务: 以营利为目的的向用户提供收费信息的网站,如门户网站, 社交网站, 电商平台, 线上交易等.
B21在线数据处理与交易业务: 利用各种与公用通讯网或互联网相连的数据与交易/事物处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务.
注意事项:申请ICP经营性备案,要求营业执照上包含”电信业务”、”增值电信业务”或”第二类增值电信业务”经营范围。
1.1.9. 关于业务运营资质
比如开展货运网业务需要道路运输许可证、网络货运业务需要网络货运资质,根据业务本身特点,按监管要求申请的对应业务资质
1.1.10. 关于通管局监管要求
年报填报(含安全防护管理系统填报)
取得ICP电信业务增值许可证的企业,每年需要履行年报填报义务,一般在Q1季度,通管局官网会发布年报上报通知;
定级备案评审
每年5-7月份远程定级评审,通常通管局会联系到年报填写的企业联系人,拉钉钉群进行视频远程定级备案评审;
现场监督检查
每年8-10月份现场监督检查。(具体参考通管局官网发布的通知公告为准)
通管局护网演练
2021年组织通管局护网演练,并选择部分企业参加,后续是否常态化开展,需根据通管局通知为准。
安全检查咨询服务及费用
安全防护管理系统填报的材料通常由专业第三方安全服务公司进行检测提供,每年纳入浙江数链公司的安全合规服务项目中,安全合规服务项目立项前会向各含有ICP证的业务方进行需求收集和费用分摊确认,并进行方案呈批。费用一般在5千~1万/单个业务系统(根据市场行情与公司项目采购方案每年有所调整)。
年中新增需求:业务方可按“浙江数链公司的安全合规服务项目”中的个性化服务框架协议单价与供应商进行服务签订。
周期要求:三级系统1年1次,二级系统2年1次
1.1.11. 关于公安部等保备案
等保测评
公司重点业务系统,需要按照《中华人民共和国网络安全法》要求进行等级保护测评,落实网络运营者的安全义务及安全防护措施,满足公安部安全监管要求。一般包括定级、备案、整改、测评、监督检查五个步骤。
等保测评自评与测评服务及费用
等保测评自评与测评服务及费用通常由公安部指定的测评机构清单中的测评机构完成测评服务。
周期要求
等保测评三级系统每年要求复评一次。
公安部现场监督检查、远程监督检查
公安部会定期下发检查材料进行填报反馈,以及像G20、亚运会、国庆70周年、建党100周年等重要时期要求加强安全监测与保障工作。
公安部省市级护网演练
重点企事业单位要求参加省市级护网演练,每年1次省级护网、1次市级护网,护网为期1周时间,省级护网与市级护网通常间隔1周左右。