DNS Flag Day 2019 - DNS 重大更新，你的網站網址有可能會因此受到影響

DNS Flag Day 是 2019 年全球 DNS 服務商聯合推動的合規升級，淘汰不支援 EDNS0 的老舊 DNS 軟體。如果你的網站目前正常運作，基本不受影響；但如果 DNS 設定長期沒有檢查，建議用官方工具跑一次測試。

DNS Flag Day 是什麼？為什麼網站需要關心 DNS 合規

DNS Flag Day 發生在 2019 年 2 月 1 日。當天，包括 Cloudflare、Google Public DNS、Quad9 在內的幾個主要 DNS 解析服務商，同時移除了長期用來相容不合規 DNS 伺服器的臨時處理邏輯。這些臨時措施（workaround）存在多年，目的是讓那些沒有正確實作 EDNS0 標準的老舊 DNS 伺服器也能正常回應查詢。但 workaround 讓 DNS 解析變慢、邏輯變複雜，所以大家決定不再繼續維護。

影響的對象很明確：還在跑十幾年前 DNS 軟體的自架名稱伺服器。如果你的網域 DNS 是交給主流供應商管理的（例如 Cloudflare、Google Cloud DNS、AWS Route 53），完全不受影響。

DNS Flag Day 不是一次性的事件。2020 年 10 月又出現了第二波，聚焦在 DNS 封包 IP 碎片化（fragmentation）問題。往後每一次 DNS 標準升級，不合規的網域都可能碰到相容性問題。所以理解 DNS 合規的概念，對長期維護網站健康仍然有幫助。

EDNS0 的作用

EDNS0（Extension Mechanisms for DNS，定義於 RFC 6891）在 1999 年就被制定出來，核心功能是突破傳統 DNS 封包 512 位元組的大小限制。有了這個擴充機制，DNS 才能支援 DNSSEC 數位簽章驗證、IPv6 位址記錄（AAAA 記錄）以及各種現代 DNS 功能。標準存在了將近 20 年，但在 2019 年之前，很多 DNS 伺服器軟體依然沒有正確實作它。

DNS 解析的運作方式：基礎概念

DNS（Domain Name System）是網際網路的電話簿。當你在瀏覽器輸入 techmoon.xyz，DNS 負責把這個名稱轉換成伺服器的 IP 位址。這個過程叫做「DNS 解析」，是網站載入的第一個環節。

DNS 系統裡有兩個關鍵角色。第一個是「遞迴 DNS」（Recursive DNS），代表瀏覽器去查詢答案，就像圖書館員幫你找書。第二個是「權威 DNS」（Authoritative DNS），是最終擁有正確答案的伺服器。查詢流程是：瀏覽器先查本機快取，再問作業系統快取、路由器、ISP 的 DNS 伺服器，一路往上到根 DNS、頂級網域 DNS，最終找到負責你網域的權威 DNS，拿到 IP 位址。

如果你正在考慮購買自己的網域名稱，理解 DNS 的基本運作會幫你少走很多彎路。一個好的網域註冊商通常也提供可靠的 DNS 管理介面。你也可以用 Hosting Checker 來查詢任何網域的 DNS 設定和託管資訊。

另一個重要概念是 TTL（Time to Live）。TTL 是每條 DNS 記錄附帶的數值，單位是秒，告訴其他 DNS 伺服器「這條記錄可以快取多久」。TTL 設得越長，解析速度越快，但修改記錄後要等 TTL 過期才會更新。這也是為什麼切換 DNS 供應商通常需要等待 24 到 48 小時才能全球生效。

DNS Flag Day 的具體變更內容

2019 年的 DNS Flag Day，主流的 DNS 軟體（包括 BIND、PowerDNS、Unbound、Knot Resolver）同時更新程式碼，移除為不合規 DNS 伺服器而存在的臨時處理邏輯。全球主要的遞迴 DNS 解析器也配合跟進。

碰到問題的具體表現是使用者收到 SERVFAIL 錯誤，瀏覽器顯示「無法找到伺服器 IP 位址」。這跟 500 Internal Server Error 不同。500 錯誤是伺服器端程式的問題，SERVFAIL 是 DNS 解析層面的失敗，代表遞迴解析器沒辦法從你的權威 DNS 拿到有效回應。使用者連你的伺服器都還沒碰到，就已經失敗了。

官方測試工具在 dnsflagday.net，輸入網域名稱就能檢查是否符合標準。截至 2026 年 5 月，這個工具仍然可以使用。

後續的 DNS 演進：DNSSEC 與加密 DNS

DNS Flag Day 2019 之後，DNS 的現代化繼續推進。2020 年 10 月的 DNS Flag Day 聚焦在 DNS 封包的 IP 碎片化問題，目標是提高 DNS 訊息傳輸的可靠性。

差不多同一時期，DNSSEC 與加密 DNS 開始受到更多關注。DNSSEC（DNS Security Extensions）利用數位簽章驗證 DNS 回應的真實性，防止 DNS 偽造攻擊。DNS over HTTPS（DoH）和 DNS over TLS（DoT）則是兩種加密 DNS 查詢的方式，防止第三方窺探你正在查詢哪些網域。傳統上 DNS 查詢是明文傳輸，你的 ISP、同一個 Wi-Fi 網路裡的任何人都能看到查詢內容。

如果你在意上網隱私，除了考慮使用 VPN 服務，啟用加密 DNS 也是基本該做的防護。

DNSSEC 與 DoH/DoT 解決不同的問題

很多人會把 DNSSEC 和 DoH/DoT 搞混，但它們解決的是完全不同的問題。用一個簡單的比喻：DNSSEC 確保你拿到的地址是真的，DoH/DoT 確保你查地址的過程不被偷看。兩者是互補的關係。

技術	解決的問題	運作層面	誰需要設定
DNSSEC	DNS 回應被竄改	資料完整性	網站管理者（在 DNS 供應商後台啟用）
DoH / DoT	DNS 查詢被窺探	傳輸加密	使用者（瀏覽器或系統設定）

從瀏覽器的角度來看，Firefox 從很早期就支援 DoH，Chrome 也在後續版本中跟進。Cloudflare 的 1.1.1.1 是全球最快的公共 DNS 之一，同時支援 DoH 和 DoT。對於網站管理者來說，如果你的 DNS 供應商支援 DNSSEC，建議開啟，因為這直接影響到網站的 DNS 安全性。

DNS 品質如何影響網站速度與 SEO 排名

DNS 解析速度是網站載入流程的第一個環節。瀏覽器在建立任何連線之前，必須先完成 DNS 解析。如果 DNS 解析花了 200 毫秒，整個頁面的載入時間就多了 200 毫秒。Google 的研究顯示，頁面載入時間每增加 100 毫秒，轉換率就可能下降 1% 到 7%。

DNS 延遲對SEO 排名的影響可能比你想像的更大。Google 將頁面速度列為排名因素之一，而 DNS 解析時間是 First Contentful Paint（FCP）的一部分。如果你的網站使用速度慢的 DNS 供應商，跟競爭對手比起來就在起跑點上輸了一截。這也是為什麼很多WordPress 網站速度優化的教學都會建議把 DNS 切換到高效能供應商。

選擇 DNS 供應商的時候，可以參考 GiftofSpeed 或 Fast or Slow 這類測速工具來比較不同供應商的解析速度。Cloudflare Speed Test 也可以幫你測試目前的網路環境。如果想了解更多 WordPress 速度優化技巧，可以參考WordPress 速度提升教學。

如何檢查你的網域 DNS 是否合規

檢查 DNS 合規性不難，有幾個免費工具可以幫你快速診斷。

常用的 DNS 檢查工具清單

dnsflagday.net：官方合規測試，操作最簡單，輸入網域名稱就能看到結果
DNSViz：視覺化 DNS 路徑分析，適合診斷 DNSSEC 問題，一眼就能看到哪個環節出錯
intoDNS：全面檢查 DNS 設定，包括 MX、NS、SOA 等記錄
DNS Checker：從全球多個節點檢查 DNS 傳播狀態
httpstatus：檢查 HTTP 狀態代碼和重定向路徑
Security Header Scanner：掃描網站安全標頭設定

對於需要更深入分析的人，可以用終端機的 dig 指令手動查詢：

dig +dnssec yourdomain.com @8.8.8.8

這條指令會向 Google DNS 查詢你的網域，並顯示 DNSSEC 相關資訊。如果看到 status: SERVFAIL，就代表有問題需要修復。

如果你的網站使用了 Cloudflare 的 DNS 服務，可以在 Cloudflare 後台的 DNS 頁面直接檢查設定狀態。Cloudflare Email Routing 也是管理自訂網域信箱的好工具，跟 DNS 設定息息相關。

DNS 設定問題的常見修復方法

如果 DNS 檢查結果顯示有問題，大部分情況的修復方式都很直接。

步驟 1：確認名稱伺服器是否合規

把名稱伺服器遷移到符合現代標準的供應商。目前主流的 DNS 供應商，包括 Cloudflare、AWS Route 53、Google Cloud DNS、Bluehost 提供的 DNS 服務，全都完全符合 EDNS0 和最新的 DNS 標準。

步驟 2：降低 TTL 再切換

在切換之前至少 48 小時，把所有 DNS 記錄的 TTL 設為 300 秒（5 分鐘）或更低。這樣切換名稱伺服器之後，全球的 DNS 快取很快就會更新。如果不先降低 TTL，有些地區的使用者可能要等一兩天才能正常訪問你的網站。

步驟 3：在新供應商先設定好所有記錄

切換之前，先在新供應商那邊設定好所有的 DNS 記錄（A 記錄、CNAME、MX 等等），確認新舊兩邊的記錄一致。這樣即使在 DNS 傳播期間，使用者無論查到新舊哪個 DNS 伺服器，都會被導向正確的 IP 位址。

常見的 DNS 錯誤代碼有幾種。SERVFAIL 表示伺服器無法完成查詢，通常是 DNS 設定錯誤或 DNSSEC 驗證失敗。NXDOMAIN 表示查詢的網域不存在，可能是記錄被刪除或者打錯字。REFUSED 表示伺服器拒絕回應，通常是名稱伺服器設定不正確。跟 502 Bad Gateway 這類 HTTP 錯誤不同，DNS 層面的錯誤發生在更早的階段。

如果你的主機供應商提供的 DNS 服務不夠好，一個常見的做法是把 DNS 管理交給 Cloudflare（免費方案就夠用了），然後在 Cloudflare 的 DNS 設定裡指向你主機的 IP 位址。這樣可以享受 Cloudflare 快速的 DNS 解析，同時保留原本的主機環境。

WordPress 網站的 DNS 最佳實踐

對於 WordPress 網站來說，DNS 設定的品質直接影響到網站的可用性和速度。在選擇 WordPress 主機的時候，除了看價格和功能，也應該把 DNS 基礎設施納入考量。像 Bluehost 和 Kinsta 這類 WordPress 專用主機，通常都提供整合的 DNS 管理介面，設定起來相對簡單。如果你正在比較不同的主機方案，可以參考 WordPress 虛擬主機推薦懶人包，裡面有完整的費用和速度比較。

很多 WordPress 網站會使用 CDN 服務來加速全球訪問速度，而 CDN 的設定通常跟 DNS 緊密相關。以 Cloudflare 為例，當你把網域的名稱伺服器指向 Cloudflare 之後，所有的 DNS 查詢都會先經過 Cloudflare 的網路，Cloudflare 再根據使用者的地理位置把請求轉發到最近的主機節點。

如果你想了解虛擬主機的種類以及它們在 DNS 管理上的差異，TechMoon 有專門的文章可以參考。對於剛入門的使用者，Bluehost 的 WordPress 安裝教學是個不錯的起點，包含從購買主機到設定 DNS 的完整流程。

在 WordPress 的 DNS 設定上，有幾個常見的錯誤需要避免。第一是同時使用多個 DNS 供應商但不統一管理，會導致記錄不一致。第二是忘記設定 SPF 和 DKIM 記錄，讓你網站寄出的 Email 被當成垃圾信。第三是沒有定期檢查 DNS 記錄的有效性，長期下來可能累積一些過時的記錄。搭配 WordPress 快取外掛一起使用，可以進一步提升網站整體的效能表現。

DNS 安全性：防護 DNS 層面的攻擊

DNS 雖然是網際網路的基礎設施，但它本身也存在安全漏洞。最常見的 DNS 攻擊類型包括 DNS 劫持（把使用者導向惡意網站）、DNS 快取投毒（在 DNS 快取中植入假的 IP 位址）、以及 DNS 放大攻擊（利用 DNS 伺服器發動 DDoS 攻擊）。

防禦 DNS 攻擊的第一步是啟用 DNSSEC。DNSSEC 透過數位簽章驗證 DNS 回應的真實性，即使攻擊者在中間篡改了 DNS 記錄，瀏覽器也能偵測到異常。大多數現代 DNS 供應商都支援 DNSSEC 設定，在 Cloudflare 後台只需要幾個點擊就能開啟。

對於 WordPress 網站，DNS 安全只是整體防護的一部分。你可以參考WordPress 安全最佳做法來全面提升網站的防禦能力。定期備份也很重要，UpdraftPlus 是 WordPress 上最受歡迎的免費備份外掛之一。如果想進一步強化，可以看看提升 WordPress 安全性與性能的技巧。

同時，Cloudflare Turnstile 可以幫你過濾掉惡意的機器人流量，減少伺服器被攻擊的風險。這對於使用 DreamHost、A2 Hosting 或 FastComet 等共享主機的網站尤其重要，因為共享主機的資源是所有用戶共享的，一旦遭到大量惡意請求，影響的不只是你一個網站。如果你也想檢查自己的 Email 有沒有在資料外洩事件中曝光，可以試試 Data Breach Checker。

DNS 相關工具與資源推薦

以下分成幾個類別，根據你的需求選擇適合的使用。

速度測試與監控：GiftofSpeed 用瀑布流方式分析網站載入過程中 DNS 解析所佔的時間。Cloudflare Speed Test 可以測試網路速度和 DNS 解析效能。Fast or Slow 從全球不同地點測試網站速度，包含 DNS 解析時間。Loader.io 是壓力測試工具，可以檢測主機在高流量下的 DNS 和回應表現。

網域管理：如果你正在尋找便宜的網域註冊方案，Domcomp 可以幫你比價各個註冊商的首購和續約價格。TLD-List 提供更完整的網域後綴比價功能。選擇網域名稱的技巧分享了 7 個挑選好域名的實用建議。

安全掃描：Security Header Scanner 可以掃描網站的安全標頭設定。mkcert 讓你在本地開發環境也能安裝 SSL 證書，啟用 HTTPS。這些工具搭配 DNSSEC 使用，可以全面提升網站在 DNS 層面的安全性。

如果你在尋找更完整的 WordPress 主機比較，WordPress 虛擬主機推薦懶人包整理了多個熱門主機的費用和速度數據。對於不同規模的網站，GreenGeeks、HostGator 和 HostPapa 都是值得考慮的選項。

DNS Flag Day 常見問題 FAQ

DNS Flag Day 對一般上網使用者有什麼影響？

對於只是上網瀏覽的一般使用者來說，DNS Flag Day 基本上沒有直接影響。瀏覽器、作業系統和 ISP 的 DNS 伺服器都已經更新到位了。唯一的差別是，如果某個網站的 DNS 設定不合規，你可能會發現那個網站打不開，但那是網站管理員的問題。

我的網站已經運作多年，需要擔心 DNS 合規嗎？

如果 DNS 是交給主流供應商管理的（例如 Cloudflare、Bluehost、Kinsta、SiteGround 等），基本不用擔心。這些供應商早就完成了所有合規升級。但如果你是用自架 DNS 伺服器或者小型 DNS 供應商，建議到 dnsflagday.net 測試一下。

免費 DNS 與付費 DNS 的差異在哪裡？

免費 DNS 服務（例如 Cloudflare 免費方案的 DNS）在解析速度和合規性方面已經做得很好了，對大多數中小型網站完全夠用。付費 DNS 的優勢主要在於更高的可用性保證（SLA）、更進階的 DDoS 防禦能力、以及更詳細的分析報告。如果網站流量很大或者有特殊的安全需求，再考慮付費方案就好。

該如何選擇適合的 DNS 供應商？

主要看幾個方面：全球節點數量（影響各地的解析速度）、是否支援 DNSSEC、是否有 DDoS 防護、以及管理介面是否好用。Cloudflare 是大多數人的首選，免費方案就包含了 DNSSEC 支援和基本的 DDoS 防護。如果你的主機商提供了整合的 DNS 管理（例如 Bluehost 或 SiteGround），也可以直接使用，省去額外設定的麻煩。

DNS 變更之後需要多久才會生效？

這取決於 DNS 記錄原本設定的 TTL 值。一般來說，DNS 變更需要 24 到 48 小時才能在全球範圍內完全生效。不過實際上，大部分地區的更新會在幾個小時內完成。如果你提前把 TTL 降低到 300 秒，切換後的生效時間可以縮短到幾分鐘。建議在進行任何 DNS 變更之前，先確認所有設定都正確無誤。

WordPress 網站更換 DNS 會導致斷線嗎？

只要操作正確，更換 DNS 不會導致網站斷線。關鍵是在切換名稱伺服器之前，先在新供應商那邊設定好所有的 DNS 記錄，確認新舊兩邊的記錄一致，然後降低 TTL，等待舊的 TTL 過期後再進行切換。如果你用的是 Cloudflare Workers 之類的進階功能，切換時要特別注意 Workers 的路由設定是否也一起更新了。

什麼是 DNS over HTTPS？一般使用者需要設定嗎？

DNS over HTTPS（DoH）是將 DNS 查詢封裝在 HTTPS 加密通道中的技術，可以防止第三方窺探你正在查詢哪些網域。Chrome 和 Firefox 等主流瀏覽器已經預設或在設定中支援 DoH。對於一般使用者，如果瀏覽器支援 DoH，建議開啟。對於網站管理者，不需要做任何特別的設定來支援 DoH，因為 DoH 影響的是使用者的 DNS 查詢方式，而不是你的網站伺服器。

DNSSEC 對 SEO 有幫助嗎？

DNSSEC 本身不是 Google 公開承認的排名因素。但啟用 DNSSEC 可以防止 DNS 偽造攻擊，確保搜尋引擎爬蟲和使用者都能正確找到你的網站。如果你的網站曾經因為 DNS 劫持而被 Google 判定為不安全，DNSSEC 可以有效避免這類問題。搭配良好的 SEO 外掛，可以讓網站在速度和安全性上都有好的表現。

如果你想了解更多關於 DNS 的最新資訊，可以參考 DNS Flag Day 官方網站。對於正在考慮購買或轉移網域的朋友，Domcomp 網域比價工具是很好的參考資源。如果你對Hostinger 主機、iPage 或 WPX Hosting 這類平價主機有興趣，它們也都提供了基本的 DNS 管理功能。

DNS 看起來是底層的技術，但實際上它每天都在影響你的網站能不能被正常訪問、訪問速度有多快、以及搜尋引擎能不能順利爬取內容。花一點時間確認 DNS 設定合規、使用高效能的 DNS 供應商，這個投資的回報會遠超你的想像。