Defaults.Exposed

Defaults.Exposed › প্রতিবেদন

ভুল কনফিগারেশনের হল অব ফেম: ওয়েবের সবচেয়ে অদ্ভুত নিরাপত্তা রেকর্ড (২০২৬)

প্রকাশিত 2026-06-29

2026-06-29 পর্যন্ত পরিসংখ্যান · পদ্ধতি v7। 261 মিলিয়ন গ্রেড করা ডোমেইন জুড়ে সমষ্টিগত সেন্সাস ডেটা। নিচের প্রতিটি পরিসংখ্যান একটি বাস্তব, পুনরাবৃত্তিমূলক প্যাটার্ন — একটি একক ঘটনা নয়। দেখুন আমরা কীভাবে গ্রেড করি

বেশিরভাগ নিরাপত্তা ব্যর্থতা বিরক্তিকর: একটি সেটিং বন্ধ রেখে দেওয়া। কিছু সত্যিই মজাদার — ডিজিটাল সমতুল্য “INSERT TENANT NAME” চিহ্ন এখনও জানালায় রেখে বিল্ডিং শিপিং। আমরা 261 মিলিয়ন ডোমেইন গ্রেড করেছি; এখানে সেই রেকর্ডগুলো যা আমাদের দুবার তাকাতে বাধ্য করেছে।

১. কেউ পুনরায় নামকরণ করেনি এমন সার্টিফিকেট

আপনি যখন ডিফল্ট OpenSSL প্রম্পট দিয়ে একটি TLS সার্টিফিকেট তৈরি করেন এবং শুধু এন্টার চাপেন, সংস্থার নাম একটি প্লেসহোল্ডার হয়ে যায়। সেই প্লেসহোল্ডারগুলো লাইভ হওয়ার আগে প্রতিস্থাপিত হওয়ার কথা। তারা ছিল না:

লাইভ সার্টিফিকেটে “ইস্যুকারী” নামসাইট
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

“Internet Widgits Pty Ltd” হলো OpenSSL-এর উদাহরণ কনফিগারেশনের আক্ষরিক ডিফল্ট — এবং 244,468 পাবলিক সাইট এটি দিয়ে স্ট্যাম্প করা একটি সার্টিফিকেট পরিবেশন করছে। সমস্ত স্পষ্ট প্লেসহোল্ডার এবং ডিফল্ট নাম জুড়ে, 685,732 সাইট কখনো চিহ্ন পরিবর্তন করেনি। তাদের প্রতিটি এছাড়াও স্ব-স্বাক্ষরিত, তাই দর্শকরা একটি ব্রাউজার সতর্কতা পান — তারা প্লেসহোল্ডার এবং ত্রুটি উভয়ই শিপিং করছে।

২. DMARC, অনুবাদে হারিয়ে গেছে

একটি DMARC নীতি শুধুমাত্র তখনই কাজ করে যদি এটি ঠিক p=none, p=quarantine, বা p=reject পড়ে। 48,648 ডোমেইন অন্য কিছু প্রকাশ করেছে — নীতি শব্দটি ভুল বানান, বা অন্য ভাষায় লেখা (লাইভ ডেটায় “none”-এর স্প্যানিশ, ফরাসি এবং পর্তুগিজ রেন্ডারিং অন্তর্ভুক্ত)। উদ্দেশ্য সঠিক ছিল; সঠিক বানান ছিল না — এবং DMARC শুধুমাত্র ইংরেজি কীওয়ার্ড গ্রহণ করে, তাই তাদের সবাই শূন্য সুরক্ষা প্রদান করে। (গণনা সহ সম্পূর্ণ, বর্তমান তালিকা: ইন্টারনেটের সবচেয়ে সাধারণ DMARC টাইপো।)

৩. SPF ওয়েলকাম ম্যাট

SPF-এর সম্পূর্ণ কাজ হলো বলা কোন সার্ভারগুলো আপনার হিসেবে মেইল পাঠাতে পারে। 36,014 ডোমেইন তাদের রেকর্ড +all-এ শেষ করে — যা ঠিক বিপরীত মানে: “ইন্টারনেটের যেকোনো সার্ভার আমার হিসেবে পাঠাতে অনুমোদিত।” এটি নিরাপত্তার সমতুল্য দরজায় আপনার চাবি টেপ করা। আরও 7,958 নীরবে তাদের SPF ভেঙে দেয় ১০-DNS-লুকআপ সীমা অতিক্রম করে, এটি সম্পূর্ণরূপে বাতিল করে। (আরও: SPF ভুল কনফিগারেশন রিপোর্ট।)

৪. সম্মানজনক উল্লেখ: স্ব-স্বাক্ষরিত মিলিয়ন

মজার নামগুলো ছাড়াও, 3,378,080 সাইট একটি স্ব-স্বাক্ষরিত সার্টিফিকেট পরিবেশন করে — একটি যা তারা নিজেরাই ইস্যু করেছে, যা ব্রাউজার প্রত্যাখ্যান করে। সাধারণত একটি রাউটার, একটি পরীক্ষামূলক বাক্স, বা একটি অভ্যন্তরীণ টুল যা দুর্ঘটনাক্রমে পাবলিক ইন্টারনেটে নির্দেশিত হয়েছিল এবং কখনো একটি বাস্তব সার্টিফিকেট পায়নি।

মজার ঘটনাগুলোতে কী মিল আছে

এখানে প্রতিটি এন্ট্রি বিরক্তিকর ব্যর্থতার মতো একই মূল কারণ: একটি ডিফল্ট অস্পর্শিত রেখে দেওয়া, একটি ধাপ বাদ দেওয়া, একটি কপি-পেস্ট সম্পন্ন না করা। ওয়েব নাটকীয়ভাবে ব্যর্থ হয় না — এটি জড়তার মাধ্যমে ব্যর্থ হয়, একটি সময়ে একটি অপরিবর্তিত প্লেসহোল্ডার। ভালো দিক: এগুলোর প্রতিটিই পাঁচ মিনিটের সমাধান।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

কেন এত সার্টিফিকেটে “Internet Widgits Pty Ltd” লেখা? এটি OpenSSL-এর উদাহরণ কনফিগারেশনে ডিফল্ট সংস্থার নাম। যখন কেউ একটি সার্টিফিকেট তৈরি করে এবং ডিফল্ট গ্রহণ করে, সেই প্লেসহোল্ডার লাইভ সার্টিফিকেটে শেষ হয়। 244,468 পাবলিক সাইট এটি কখনো পরিবর্তন করেনি।

অন্য ভাষায় একটি DMARC নীতি কি কিছু করে? না। DMARC শুধুমাত্র সঠিক কীওয়ার্ড none, quarantine, এবং reject চেনে। ভুল বানান বা অন্য ভাষায় নীতি শব্দ সহ একটি রেকর্ড অবৈধ এবং উপেক্ষা করা হয় — ডোমেইনটি জাল করার যোগ্য থাকে।

SPF +all কী করে? এটি ইন্টারনেটের প্রতিটি সার্ভারকে আপনার ডোমেইন হিসেবে ইমেইল পাঠাতে অনুমোদন দেয় — কোনো SPF না থাকার চেয়ে খারাপ। 36,014 ডোমেইনে এটি আছে, প্রায় সবসময় ভুলে।

এগুলো কি বিরল প্রান্ত ক্ষেত্র? না — প্রতিটি লক্ষ লক্ষ থেকে মিলিয়ন ডোমেইন, একটি 261-মিলিয়ন-ডোমেইন সেন্সাস জুড়ে ধারাবাহিকভাবে পাওয়া গেছে। এগুলো সাধারণ ডিফল্ট, অদ্ভুত দুর্ঘটনা নয়।

আপনার ডোমেইন পরবর্তী সংস্করণে নেই তা পরীক্ষা করুন

এগুলোর বেশিরভাগই এক-লাইন সমাধান। আপনার ডোমেইন ব্যক্তিগতভাবে এবং বিনামূল্যে পরীক্ষা করুন — আপনার সার্টিফিকেট, DMARC এবং SPF ঠিক যেভাবে ইন্টারনেট দেখে সেভাবে দেখুন।

আপনার ডোমেইন পরীক্ষা করুন → · DMARC টাইপো → · SPF ভুল কনফিগারেশন রিপোর্ট → · সার্টিফিকেট ত্রুটি রিপোর্ট → · শুধুমাত্র সমষ্টিগত ডেটা। ডেটা EU-তে সংরক্ষিত এবং প্রক্রিয়াজাত।