Defaults.Exposed

Defaults.Exposed › Доклади

Парадоксът с DNSSEC: Повече домейни го имат счупен, отколкото правилен (2026)

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 261 милиона оценени домейна. Вижте как оценяваме.

DNSSEC трябва да направи домейна ви по-трудно за отвличане — но е толкова сложен, че повече домейни го имат счупен, отколкото работещ. От 261 милиона домейна, 3.02% имат подписан, но счупен DNSSEC, срещу само 1.99% с валиден. Останалите 94.99% изобщо не го пробват. DNS е слоят, забравен в разговора за сигурност — и числата го показват.

Какво казват данните

Състояние на DNSSECДял от домейните
Валиден (подписан, работещ)1.99%
Счупен (подписан, неправилно конфигуриран)3.02%
Изобщо не е подписан94.99%

Повече домейни са в реда счупен, отколкото в реда валиден. Това е парадоксът: сред малкото малцинство, активирало DNSSEC, мнозинството го е объркало.

Защо счупеният DNSSEC е по-лош от никакъв DNSSEC?

Неподписаният DNSSEC е просто незащитен. Счупеният DNSSEC е активно опасен: валидиращ резолвер ще откаже да разреши домейн, чиито подписи не се проверяват, така че неправилна конфигурация може да вземе домейна ви напълно офлайн за голяма част от интернет — без уебсайт, без имейл — докато не бъде поправено. Точно функцията, предназначена да ви защити, се превръща в самоинициирано прекъсване. Този риск, плюс наистина трудното управление на ключовете и прехвърлянето при регистратор, е причината приемането да стои близо до нулата.

По-широката пропаст в DNS сигурността

DNSSEC не е единственият пренебрегван контрол за DNS. CAA записи — ограничаващи кой може да издава TLS сертификати за вашия домейн и тихо блокиращи клас атаки с неправилно издаване — присъстват само при 1.56% от домейните. DNS е фундаментален: ако е отвлечен, всеки друг контрол надолу по веригата може да бъде заобиколен. Но той е слоят, до когото най-малко собственици изобщо стигат.

Трябва ли да активирам DNSSEC?

За повечето малки бизнеси, редът на приоритетите е първо удостоверяване на имейли и HTTPS — те спират атаките, с които действително се сблъсквате ежедневно. DNSSEC има значение, но само ако е направен правилно: счупен подпис е по-лош от никакъв. Ако го активирате, използвайте доставчик, управляващ подписването и ротацията на ключовете за вас, и верифицирайте след това, че се валидира от край до край. Вижте поправяне на DNSSEC и поправяне на CAA.

Често задавани въпроси

Наистина ли счупеният DNSSEC е по-лош от никакъв DNSSEC? Да. Никакъв DNSSEC просто означава без допълнителна защита. Счупеният DNSSEC може да направи домейна ви неразрешим за валидиращи мрежи — сваляйки сайта и имейла ви офлайн, докато не бъде поправено.

Какъв дял от домейните използват DNSSEC правилно? Само 1.99% към 2026-06-29 — по-малко от 3.02%, имащи го подписан, но счупен.

Какво е CAA запис и нужен ли ми е такъв? CAA ограничава кои сертифициращи органи могат да издават сертификати за вашия домейн, блокирайки клас неправилно издаване. Само 1.56% от домейните задават такъв. Това е евтино допълнение с нисък риск.

Трябва ли малкият бизнес да приоритизира DNSSEC? Обикновено след удостоверяване на имейли и HTTPS. Направете тях първо; добавете DNSSEC само ако можете да го управлявате правилно.

Проверете безплатно DNS сигурността на вашия домейн

Вижте статуса на DNSSEC и CAA — и контролите, имащи по-голямо значение — частно и само за собственика.

Проверете вашия домейн → · Поправете DNSSEC → · Поправете CAA → · Как оценяваме → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.