Defaults.Exposed › Доклади
Парадоксът с DNSSEC: Повече домейни го имат счупен, отколкото правилен (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 261 милиона оценени домейна. Вижте как оценяваме.
DNSSEC трябва да направи домейна ви по-трудно за отвличане — но е толкова сложен, че повече домейни го имат счупен, отколкото работещ. От 261 милиона домейна, 3.02% имат подписан, но счупен DNSSEC, срещу само 1.99% с валиден. Останалите 94.99% изобщо не го пробват. DNS е слоят, забравен в разговора за сигурност — и числата го показват.
Какво казват данните
| Състояние на DNSSEC | Дял от домейните |
|---|---|
| Валиден (подписан, работещ) | 1.99% |
| Счупен (подписан, неправилно конфигуриран) | 3.02% |
| Изобщо не е подписан | 94.99% |
Повече домейни са в реда счупен, отколкото в реда валиден. Това е парадоксът: сред малкото малцинство, активирало DNSSEC, мнозинството го е объркало.
Защо счупеният DNSSEC е по-лош от никакъв DNSSEC?
Неподписаният DNSSEC е просто незащитен. Счупеният DNSSEC е активно опасен: валидиращ резолвер ще откаже да разреши домейн, чиито подписи не се проверяват, така че неправилна конфигурация може да вземе домейна ви напълно офлайн за голяма част от интернет — без уебсайт, без имейл — докато не бъде поправено. Точно функцията, предназначена да ви защити, се превръща в самоинициирано прекъсване. Този риск, плюс наистина трудното управление на ключовете и прехвърлянето при регистратор, е причината приемането да стои близо до нулата.
По-широката пропаст в DNS сигурността
DNSSEC не е единственият пренебрегван контрол за DNS. CAA записи — ограничаващи кой може да издава TLS сертификати за вашия домейн и тихо блокиращи клас атаки с неправилно издаване — присъстват само при 1.56% от домейните. DNS е фундаментален: ако е отвлечен, всеки друг контрол надолу по веригата може да бъде заобиколен. Но той е слоят, до когото най-малко собственици изобщо стигат.
Трябва ли да активирам DNSSEC?
За повечето малки бизнеси, редът на приоритетите е първо удостоверяване на имейли и HTTPS — те спират атаките, с които действително се сблъсквате ежедневно. DNSSEC има значение, но само ако е направен правилно: счупен подпис е по-лош от никакъв. Ако го активирате, използвайте доставчик, управляващ подписването и ротацията на ключовете за вас, и верифицирайте след това, че се валидира от край до край. Вижте поправяне на DNSSEC и поправяне на CAA.
Често задавани въпроси
Наистина ли счупеният DNSSEC е по-лош от никакъв DNSSEC? Да. Никакъв DNSSEC просто означава без допълнителна защита. Счупеният DNSSEC може да направи домейна ви неразрешим за валидиращи мрежи — сваляйки сайта и имейла ви офлайн, докато не бъде поправено.
Какъв дял от домейните използват DNSSEC правилно? Само 1.99% към 2026-06-29 — по-малко от 3.02%, имащи го подписан, но счупен.
Какво е CAA запис и нужен ли ми е такъв? CAA ограничава кои сертифициращи органи могат да издават сертификати за вашия домейн, блокирайки клас неправилно издаване. Само 1.56% от домейните задават такъв. Това е евтино допълнение с нисък риск.
Трябва ли малкият бизнес да приоритизира DNSSEC? Обикновено след удостоверяване на имейли и HTTPS. Направете тях първо; добавете DNSSEC само ако можете да го управлявате правилно.
Проверете безплатно DNS сигурността на вашия домейн
Вижте статуса на DNSSEC и CAA — и контролите, имащи по-голямо значение — частно и само за собственика.
Проверете вашия домейн → · Поправете DNSSEC → · Поправете CAA → · Как оценяваме → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.