Defaults.Exposed

Defaults.Exposed › Доклади

Какво е DNSSEC — и наистина ли ви трябва? (2026)

Публикувано 2026-07-01

Данни към 2026-06-29 · методология v7. Агрегирани данни от преброяването на 261 милиона оценени домейна. DNSSEC добавя криптографски подписи към DNS, така че резолверът може да докаже, че отговорът наистина е дошъл от вас и не е бил манипулиран. Вижте как оценяваме.

DNSSEC поставя марка върху всеки DNS отговор за вашия домейн с подпис, така че атакуващ не може тихо да замени фалшив и да изпрати посетителите ви другаде. Той е един от най-малко приетите контроли в мрежата: само 1.99% от 261 милиона домейна имат валидна подписана верига. Той е и един от малкото, при които лошата конфигурация е по-лоша от никаква — 3.02% от домейните са подписани, но счупени, което може да ги направи недостъпни. Ето какво прави и дали ви трябва.

От какво действително предпазва DNSSEC

Обикновеният DNS няма начин да докаже, че отговорът е истински. Това отваря вратата за отравяне на кеша и on-path DNS подправяне — атакуващ подава на резолвер фалшив запис и насочва посетителите ви, или имейла ви, към собствения му сървър, без предупреждение от сертификат, което да го издаде. DNSSEC затваря тази пролука, като подписва записите, така че валидиращ резолвер отхвърля всичко, което не се верифицира.

Какво не прави: не шифрова DNS, не осигурява самия уебсайт и не заменя HTTPS, DMARC или CAA. Той е един слой — цялост за DNS отговорите.

Картината на приемането

По разширение на домейн, валидният DNSSEC варира широко: 18.38% при .se, 11.86% при .nl, 14.62% при .cz — срещу само 1.62% при .com.

Нужен ли ви е?

Как да го включите безопасно

  1. Използвайте DNS хост, автоматизиращ DNSSEC — подписването и ротациите на ключовете се обработват вместо вас (повечето основни доставчици вече го правят с един клик). Вижте поправете DNSSEC.
  2. Активирайте подписването, след това публикувайте DS записа при регистратора си, за да завършите веригата на доверие.
  3. Валидирайте, че веригата се разрешава, преди да се отдалечите — подписан-но-счупен домейн е по-лош от неподписан.
  4. Никога не управлявайте ключовете ръчно, освен ако не разполагате с инструменти за надеждното им ротиране.

Често задавани въпроси

Какво е DNSSEC с прости думи? Набор от цифрови подписи върху DNS записите ви, така че резолверите могат да докажат, че отговорът е истински и не е бил фалшифициран в транзит.

Наистина ли ми трябва DNSSEC? Той е най-ценен за домейни с висока стойност като цел и където съответствието го изисква. За всички останали е добра стъпка за закаляване ако DNS хостът ви го автоматизира — основният риск е погрешна конфигурация, която 3.02% от домейните в момента имат.

Шифрова ли DNSSEC DNS? Не. Доказва цялост (отговорът е автентичен), но не скрива заявката. Това е различна технология (DoH/DoT).

Може ли DNSSEC да счупи уебсайта ми? Счупен или изтекъл подпис може да направи домейна ви неразрешим за всеки, използващ валидиращ резолвер. Затова автоматизираното подписване и ротация на ключовете имат значение.

DNSSEC безплатен ли е? Да при повечето модерни DNS хостове — това е настройка, не покупка.

Проверете DNSSEC на домейна си безплатно

Вижте дали домейнът ви е подписан, валиден и правилно верифициран — поверително и само за собственици.

Проверете своя домейн → · Поправете DNSSEC → · Работи ли задължителният DNSSEC? → · Как оценяваме → · Само агрегирани данни. Данните се съхраняват и обработват в ЕС.