跳转到主要内容

技术基础设施

AI代理评估一个网站的可信度时,第一步不是看你的商品,而是看你的技术基础设施。就像银行贷款审核先查你的征信记录,AI代理先查你的域名安全状况。 这一章覆盖所有影响AI信任评估的技术基础设施,按重要程度排序。

2.1 SSL/TLS证书

什么是SSL: SSL(Secure Sockets Layer)及其继任者TLS(Transport Layer Security)是加密网站通信的协议。浏览器地址栏的锁图标就是它。 为什么AI代理在意: 没有SSL的网站,AI代理会直接标记为”不安全”。这是最基础的门槛。 配置要点:
项目推荐说明
证书类型DV(域名验证)即可OV/EV证书在AI评估中有额外加分
证书签发商Let’s Encrypt(免费)或商业CA自签证书会被扣分
协议版本TLS 1.2+不支持TLS 1.0/1.1
证书链完整中间证书不能缺失
免费获取: 大多数主机商(如Cloudflare、Vercel、Netlify)自动提供SSL。如果你的主机商不提供,用 Let’s Encrypt + Certbot 可以免费获取。 验证方法: 访问 https://你的域名,浏览器显示锁图标即可。也可以用 SSL Labs 做详细检测。

2.2 DNSSEC

什么是DNSSEC: DNS Security Extensions,DNS安全扩展。它通过数字签名保证DNS解析结果没有被篡改。 通俗解释: 你在快递单上写了”送到北京朝阳区”,DNSSEC确保这个地址在传递过程中不会被改成”上海浦东”。 为什么重要: DNS劫持是真实的安全威胁。AI代理会检查你的域名是否启用了DNSSEC,作为安全维度的重要信号。 配置步骤:
  1. 确认你的域名注册商支持DNSSEC(大多数都支持)
  2. 在注册商后台开启DNSSEC:
    • Cloudflare: Dashboard → DNS → DNSSEC → Enable(一键开启)
    • Namecheap: Domain List → 选择域名 → Advanced DNS → DNSSEC → Enable
    • GoDaddy: My Products → DNS → DNSSEC → Add
    • 阿里云: 域名管理 → DNSSEC设置 → 开启
  3. 等待生效: 通常24-48小时
验证方法: 
# 使用dig命令验证
dig +dnssec 你的域名

# 或使用在线工具
# https://dnssec-debugger.verisignlabs.com/
DNSSEC是免费的,大多数注册商只需要点一个开关。这是投入产出比最高的安全配置之一。

2.3 DMARC + SPF + DKIM

这三个协议共同保护你的邮件域名不被冒充。AI代理会一起检查它们。

SPF(Sender Policy Framework)

作用: 告诉邮件服务器”只有这些IP/服务器可以用我的域名发邮件”。 配置方法: 在DNS中添加一条TXT记录: 
名称: @(或你的域名)
类型: TXT
值: v=spf1 include:_spf.google.com include:sendgrid.net ~all
include: 后面替换成你实际使用的邮件服务商。常用的有:
  • Google Workspace: include:_spf.google.com
  • Microsoft 365: include:spf.protection.outlook.com
  • Zoho: include:zoho.com
  • Resend: include:amazonses.com

DKIM(DomainKeys Identified Mail)

作用: 给你发出的每封邮件加一个数字签名,收件方可以验证邮件确实是你发的。 配置方法: 通常由邮件服务商提供。在Google Workspace/Microsoft 365后台获取DKIM密钥,然后在DNS中添加一条TXT记录。

DMARC(Domain-based Message Authentication)

作用: 告诉收件方”如果SPF和DKIM验证失败的邮件,应该怎么处理”。 配置方法: 在DNS中添加一条TXT记录: 
名称: _dmarc
类型: TXT
值: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@你的域名
DMARC策略选项:
  • p=none — 不处理,只监控(入门阶段使用)
  • p=quarantine — 隔离可疑邮件(推荐)
  • p=reject — 直接拒绝(最严格,确认SPF/DKIM正常后使用)
建议先用 p=none 监控几周,确认正常邮件都能通过验证后,再升级到 p=quarantine。直接设置 p=reject 可能导致正常邮件被拦截。
验证方法: 
# 检查SPF
dig TXT 你的域名

# 检查DMARC
dig TXT _dmarc.你的域名

# 在线工具
# https://mxtoolbox.com/

2.4 HSTS(HTTP Strict Transport Security)

什么是HSTS: 告诉浏览器”这个域名永远使用HTTPS”,防止用户被降级到HTTP。 配置方法: 在HTTP响应头中添加: 
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
各平台配置:
  • Nginx: 在server块中添加 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
  • Cloudflare: SSL/TLS → Edge Certificates → Always Use HTTPS + HSTS → Enable
  • Apache: 在 .htaccess 中添加 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

2.5 CAA记录

什么是CAA: Certificate Authority Authorization,指定哪些CA(证书签发机构)可以为你的域名签发证书。 为什么重要: 防止未授权的CA为你的域名签发证书。AI代理会检查这个配置。 配置方法: 在DNS中添加CAA记录: 
名称: @
类型: CAA
值: 0 issue "letsencrypt.org"
如果你使用多个CA,为每个CA添加一条记录。

2.6 配置优先级

如果你的时间有限,按这个顺序配置:
优先级配置项耗时难度
1SSL/TLS5分钟低(通常已有)
2SPF + DMARC15分钟
3DNSSEC5分钟低(一键开启)
4DKIM15分钟中(需邮件服务商配合)
5HSTS5分钟
6CAA5分钟
全部配完大约1小时。配完后,你的安全维度(S维度)会有明显提升。
下一章: Schema.org实战 — 让AI代理读懂你的商品信息