Defaults.Exposed

Defaults.Exposed › Доклади

Залата на славата на неправилните конфигурации: Най-странните записи за сигурност в уеба (2026)

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 261 милиона оценени домейна. Всяка цифра по-долу е реален, повтарящ се модел — не еднократен случай. Вижте как оценяваме.

Повечето пробиви в сигурността са скучни: настройка, оставена изключена. Малка част са наистина смешни — цифровият еквивалент на сграда, пусната с все още наличния надпис „ВМЪКНЕТЕ ИМЕ НА НАЕМАТЕЛ”. Оценихме 261 милиона домейна; ето записите, накарали ни да погледнем втори път.

1. Сертификатът, когото никой не преименува

Когато генерирате TLS сертификат с подразбиращите се подканвания на OpenSSL и просто натиснете Enter, името на организацията става заместител. Тези заместители трябва да се сменят преди пускане в производство. Не са сменени:

Наименование „Издаден от” на живия сертификатСайтове
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

„Internet Widgits Pty Ltd” е буквалното по подразбиране в примерната конфигурация на OpenSSL — и 244,468 публични сайта обслужват сертификат с именно този надпис. Само сред очевидните заместители и подразбиращи се имена, 685,732 сайта никога не са сменили надписа. Всички те са и самоподписани, така че посетителите получават предупреждение от браузъра — те доставят заместителя и грешката.

2. DMARC, изгубен в превода

DMARC политиката работи само ако гласи точно p=none, p=quarantine или p=reject. 48,648 домейна са публикували нещо различно — думата за политиката е сгрешена или написана на друг език (живите данни включват испански, френски и португалски варианти на „none”). Намерението е правилно; точният правопис — не — и DMARC приема само английската ключова дума, така че всички те не осигуряват никаква защита. (Пълен, актуален списък с брой: най-честите печатни грешки в DMARC в интернет.)

3. SPF добре дошъл килим

Цялата задача на SPF е да казва кои сървъри могат да изпращат поща от ваше име. 36,014 домейна завършват записа си с +all — което означава точно обратното: „всеки сървър в интернет е упълномощен да изпраща от мое име.” Това е еквивалент на залепване на ключа на вратата. Още 7,958 тихо нарушават своя SPF, надхвърляйки ограничението от 10 DNS търсения, анулирайки го напълно. (Повече: доклад за неправилни конфигурации на SPF.)

4. Почетно споменаване: самоподписаните милиони

Освен смешните имена, 3,378,080 сайта обслужват самоподписан сертификат — такъв, издаден от самите тях, който браузърите отхвърлят. Обикновено рутер, тестова машина или вътрешен инструмент, случайно насочен към публичния интернет и никога неполучил истински сертификат.

Какво общо имат смешните случаи

Всеки запис тук се дължи на същата основна причина като скучните грешки: подразбиране, оставено непроменено, пропусната стъпка, незавършено копиране-поставяне. Уебът не се проваля драматично — той се проваля от инерция, един незаменен заместител наведнъж. Хубавото: всеки от тях е поправка от пет минути.

Често задавани въпроси

Защо толкова много сертификати пишат „Internet Widgits Pty Ltd”? Това е подразбиращото се наименование на организацията в примерната конфигурация на OpenSSL. Когато някой генерира сертификат и приема подразбиращите се стойности, този заместител се появява на живия сертификат. 244,468 публични сайта никога не са го сменили.

Прави ли нещо DMARC политика на друг език? Не. DMARC разпознава само точните ключови думи none, quarantine и reject. Запис с грешно написана или на друг език написана ключова дума за политиката е невалиден и се игнорира — домейнът остава фалшифицируем.

Какво прави SPF +all? Той упълномощава всеки сървър в интернет да изпраща имейл от ваш домейн — по-лошо от липсата на SPF изобщо. 36,014 домейна го имат, почти винаги по погрешка.

Редки ли са тези гранични случаи? Не — всеки представлява от стотици хиляди до милиони домейни, открити последователно в преброяване на 261 милиона домейна. Те са чести подразбирания, не случайни аномалии.

Проверете дали вашият домейн не е в следващото издание

Повечето от тях са еднородови поправки. Проверете домейна си частно и безплатно — вижте сертификата, DMARC и SPF точно така, както интернет ги вижда.

Проверете вашия домейн → · Печатни грешки в DMARC → · Доклад за неправилни конфигурации на SPF → · Докладът за грешки в сертификатите → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.