Defaults.Exposed

Defaults.Exposed › Zprávy

Síň slávy chybných konfigurací: Nejpodivnější bezpečnostní záznamy webu (2026)

Publikováno 2026-06-29

Čísla k 2026-06-29 · metodika v7. Agregovaná data sčítání přes 261 milionů ohodnocených domén. Každé číslo níže je skutečný, opakující se vzorec — nikoli jednorázový případ. Viz jak hodnotíme.

Většina bezpečnostních selhání je nudná: nastavení ponechané vypnuté. Pár jich je opravdu k smíchu — digitální obdoba předání budovy s cedulí „VLOŽTE JMÉNO NÁJEMCE” stále ve výloze. Ohodnotili jsme 261 milionů domén; zde jsou rekordy, u kterých jsme se podívali dvakrát.

1. Certifikát, který nikdo nepřejmenoval

Když vygenerujete certifikát TLS s výchozími výzvami OpenSSL a prostě stisknete Enter, název organizace se stane zástupným textem. Tyto zástupné texty se mají před nasazením nahradit. Nestalo se:

Jméno „Vydáno kým” na aktivním certifikátuWeby
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

„Internet Widgits Pty Ltd” je doslovná výchozí hodnota v ukázkové konfiguraci OpenSSL — a 244,468 veřejných webů servíruje certifikát s tímto razítkem. Napříč všemi zjevnými zástupnými a výchozími jmény 685,732 webů nikdy nezměnilo ceduli. Každý z nich je navíc podepsaný sám sebou, takže návštěvníci dostanou varování prohlížeče — servírují zástupný text i chybu.

2. DMARC ztracený v překladu

Zásada DMARC funguje pouze tehdy, pokud zní přesně p=none, p=quarantine nebo p=reject. 48,648 domén zveřejnilo něco jiného — slovo zásady s překlepem nebo napsané úplně v jiném jazyce (živá data obsahují španělské, francouzské a portugalské podoby slova „none”). Záměr byl správný; přesný pravopis nikoli — a DMARC přijímá pouze anglické klíčové slovo, takže všechny poskytují nulovou ochranu. (Úplný, aktuální seznam s počty: nejčastější překlepy v DMARC na internetu.)

3. Uvítací rohožka SPF

Celým úkolem SPF je říci, které servery smějí odesílat poštu vaším jménem. 36,014 domén ukončuje svůj záznam na +all — což znamená přesný opak: „každý server na internetu je oprávněn odesílat mým jménem.” Je to bezpečnostní obdoba přilepení klíče na dveře. Dalších 7,958 tiše rozbíjí svůj SPF překročením limitu 10 vyhledávání DNS, čímž jej zcela ruší. (Více: zpráva o chybné konfiguraci SPF.)

4. Čestné uznání: miliony podepsaných samy sebou

Kromě vtipných jmen servíruje 3,378,080 webů certifikát podepsaný sám sebou — takový, který si vydaly samy a který prohlížeče odmítají. Obvykle router, testovací stroj nebo interní nástroj, který se náhodou ocitl namířený na veřejný internet a nikdy nezískal skutečný certifikát.

Co mají vtipné případy společného

Každá položka zde má stejnou hlavní příčinu jako nudná selhání: nedotčená výchozí hodnota, vynechaný krok, nedokončené kopírování a vkládání. Web neselhává dramaticky — selhává setrvačností, jeden nepřejmenovaný zástupný text po druhém. Dobrá zpráva: každý z nich je oprava na pět minut.

Často kladené otázky

Proč tolik certifikátů uvádí „Internet Widgits Pty Ltd”? Je to výchozí název organizace v ukázkové konfiguraci OpenSSL. Když někdo vygeneruje certifikát a přijme výchozí hodnoty, ten zástupný text skončí na aktivním certifikátu. 244,468 veřejných webů jej nikdy nezměnilo.

Dělá zásada DMARC v jiném jazyce něco? Ne. DMARC rozpoznává pouze přesná klíčová slova none, quarantine a reject. Záznam se slovem zásady s překlepem nebo napsaným v jiném jazyce je neplatný a ignorovaný — doména zůstává napodobitelná.

Co dělá SPF +all? Opravňuje každý server na internetu k odesílání e-mailů jménem vaší domény — horší než nemít SPF vůbec. 36,014 domén jej má, téměř vždy omylem.

Jsou to vzácné okrajové případy? Ne — každý z nich představuje stovky tisíc až miliony domén, soustavně nacházené napříč sčítáním 261 milionů domén. Jsou to běžné výchozí hodnoty, ne podivné nehody.

Zkontrolujte, že vaše doména nebude v příštím vydání

Většina z nich jsou opravy na jeden řádek. Zkontrolujte svou doménu soukromě a zdarma — uvidíte svůj certifikát, DMARC a SPF přesně tak, jak je vidí internet.

Zkontrolujte svou doménu → · Překlepy v DMARC → · Zpráva o chybné konfiguraci SPF → · Zpráva o chybách certifikátů → · Pouze agregovaná data. Data uložena a zpracovávána v EU.