Defaults.Exposed › Доклади
Работи ли задължителното DNSSEC? Какво разкрива приемането, движено от регистрите (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването за 261 милиона оценени домейна, по национално домейн разширение (прокси за политиката на регистъра, не за местонахождение на компания). „Движено от регистъра” = регистърът на разширението активно насърчава DNSSEC чрез стимули или изисквания — предимно стимули за регистратори, не правни мандати. „Валиден” = верига DNSSEC, преминаваща валидация; „счупен” = подписан, но неуспяващ валидация. Вижте как оценяваме.
Кара ли принуждаването на регистраторите да налагат DNSSEC реално приемане? Да — решително — но с улов. При разширения, чиито регистри движат DNSSEC, 9.1% от домейните имат валиден подпис, срещу само 1.3% при разширения, оставящи избора на собствениците — приблизително 7× по-високо. Политиката работи там, където доброволното приемане е на ниво. Уловът: дори при лидерите повече домейни чупят DNSSEC, отколкото го правят правилно — така натискът от регистъра решава включването, но не правилното правене.
Увеличава ли насърчаването на DNSSEC приемането?
Недвусмислено. Движените от регистри национални разширения се групират около 10–18% валиден DNSSEC; разширенията „laisser-faire” стоят близо до глобалния праг 1.99%. По-висок % валидни е по-добре; % счупени е цената на грешките. Към 2026-06-29:
| Разширение | Позиция на регистъра | DNSSEC валиден | Счупен |
|---|---|---|---|
| .se (Швеция) | Движено (стимули за регистратори) | 18.38% | 30.35% |
| .no (Норвегия) | Движено | 16.59% | 25.24% |
| .sk (Словакия) | Движено | 16.61% | 25.59% |
| .cz (Чехия) | Движено (стимули за регистратори) | 14.62% | 26.28% |
| .nl (Нидерландия) | Движено (стимули за регистратори) | 11.86% | 22.98% |
| .fr (Франция) | Движено | 5.13% | 9.54% |
| .com | Laissez-faire | 1.62% | 2.44% |
| .de (Германия) | Laissez-faire | 0.92% | 1.60% |
| .uk (Обединеното кралство) | Laissez-faire | 1.06% | 1.72% |
18.38% на Швеция е повече от десет пъти 1.62% на .com. Разликата не е в технологията — протоколът е един и същ навсякъде — тя е в това дали някой по веригата е имал причина да го внедри.
Уловът: повече счупени, отколкото работещи
Ето неудобната половина. При всяко движено от регистър разширение по-горе процентът счупени е по-висок от процента валидни — Швеция показва 30.35% счупени срещу 18.38% валидни; Нидерландия 22.98% срещу 11.86%. При всички движени разширения е 15.7% счупени срещу 9.1% валидни.
Това е важно, защото счупеният DNSSEC не е безвреден: валидиращ резолвер ще откаже да разреши домейн, чиито подписи не се проверяват, така че неправилна конфигурация може да вземе домейна офлайн — уебсайт и имейл — за дял от интернет. Насърчаването на приемане без насърчаване на коректност мащабира прекъсванията заедно със защитата. Това е същият проблем с изпълнението, който целият уеб показва в парадокса на DNSSEC, само усилен там, където повече домейни го опитват.
Защо политиката на регистъра побеждава оставянето на избора на собствениците
DNSSEC няма принудително събитие за отделен собственик: нищо не се чупи или предупреждава, ако го пропуснете, така че при разширения „laissez-faire” като .com приемането стои неподвижно около 1.62% безкрайно. Регистрите, избягали от това, са направили чрез икономика, не наредби — обикновено стимули за регистратори (отстъпки или отбиви за подписване на зони) плюс автоматизация на доставчиците, което е начинът, по който nordическите, чешкият и нидерландският регистри са повдигнали цялото си население. Това е чист естествен експеримент: един и същ протокол, една и съща трудност, много различни резултати — а разликата е политиката на регистъра.
Мандат или стимул — какво реално движи иглата?
Предимно стимулът. Въпреки „задължителното” формулиране, с което въпросът обикновено се поставя, разширенията с висока степен на приемане тук като цяло насърчават DNSSEC, вместо да го изискват правно; твърдите мандати са по-редки (някои правителства го изискват за домейни от обществения сектор). Урокът за всеки регистър: привеждането на икономиката на регистраторите и автоматизацията към подписване работи — но трябва да бъде придружено от управляемо подписване и смяна на ключове, иначе просто произвеждате повече счупени зони.
Често задавани въпроси
Увеличава ли изискването или насърчаването на DNSSEC реално приемането? Да — около 7× в нашите данни: 9.1% валидни при движени от регистри разширения срещу 1.3% при laissez-faire, към 2026-06-29.
Коя страна или домейн зона има най-много DNSSEC?
Сред големите разширения, Швеция (.se) води с 18.38% валидни — над десет пъти повече от 1.62% на .com.
Ако приемането е по-высоко, правилно ли е DNSSEC? Често не. При всяко разширение с висока степен на приемане счупеният DNSSEC надвишава валидния (15.7% срещу 9.1% при движените разширения) — а счупеният DNSSEC може да вземе домейн офлайн.
Трябва ли малък бизнес да включи DNSSEC? Само ако е управлявано правилно — счупен подпис е по-лош от никакъв. Използвайте доставчик, управляващ подписването и смяната на ключове, и проверете дали се валидира. Вижте как да поправите DNSSEC.
Проверете DNS на домейна си
Вижте дали DNSSEC е валиден, счупен или отсъства — и останалата ви позиция — частно и безплатно.
Проверете домейна си → · Парадоксът на DNSSEC → · Кой управлява DNS на интернет? → · Поправете DNSSEC → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.