Defaults.Exposed › Zprávy
Paradox DNSSEC: Více domén jej rozbíjí, než správně nastaví (2026)
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
DNSSEC má ztížit únos vaší domény — ale je tak choulostivý, že více domén ho má rozbitý než funkční. Napříč 261 miliony domén má 3.02% podepsaný, ale rozbitý DNSSEC, oproti pouhým 1.99%, které ho mají platný. Zbývajících 94.99% se o něj vůbec nepokouší. DNS je vrstva, na kterou diskuse o bezpečnosti zapomíná — a čísla to ukazují.
Co říkají data
| Stav DNSSEC | Podíl domén |
|---|---|
| Platný (podepsaný, funkční) | 1.99% |
| Rozbitý (podepsaný, špatně nastavený) | 3.02% |
| Vůbec nepodepsaný | 94.99% |
V řádku rozbitý je více domén než v řádku platný. To je ten paradox: mezi malou menšinou, která DNSSEC zapne, ho většina nastaví špatně.
Proč je rozbitý DNSSEC horší než žádný DNSSEC?
Nepodepsaný DNSSEC je prostě nechráněný. Rozbitý DNSSEC je aktivně nebezpečný: ověřující resolver odmítne přeložit doménu, jejíž podpisy nesedí, takže špatná konfigurace může vaši doménu pro část internetu uvést úplně mimo provoz — žádný web, žádný e-mail — dokud se neopraví. Samotná funkce, která vás má chránit, se mění ve vámi způsobený výpadek. Toto riziko, spolu se skutečně ošemetným střídáním klíčů a předáváním mezi registrátory, je důvod, proč přijetí zůstává blízko dna.
Širší mezera v zabezpečení DNS
DNSSEC není jediná zanedbávaná kontrola DNS. Záznamy CAA — které omezují, kdo smí vydávat TLS certifikáty pro vaši doménu, a tiše blokují třídu útoků chybného vydání — jsou přítomny jen na 1.56% domén. DNS je základní: pokud je unesen, lze obejít jakoukoli další navazující kontrolu. Přesto je to vrstva, které se nejméně vlastníků kdy dotkne.
Mám zapnout DNSSEC?
Pro většinu malých firem je pořadí priorit nejprve ověřování e-mailu a HTTPS — ty zastaví útoky, kterým reálně denně čelíte. DNSSEC je důležitý, ale jen pokud je proveden správně: rozbitý podpis je horší než žádný. Pokud ho zapnete, použijte poskytovatele, který za vás spravuje podepisování a střídání klíčů, a poté ověřte, že validuje od začátku do konce. Viz opravit DNSSEC a opravit CAA.
Často kladené dotazy
Je rozbitý DNSSEC opravdu horší než žádný DNSSEC? Ano. Žádný DNSSEC znamená jen žádnou ochranu navíc. Rozbitý DNSSEC může způsobit, že se vaše doména nepřeloží na ověřujících sítích — čímž odpojí váš web a e-mail, dokud se to neopraví.
Jaký podíl domén používá DNSSEC správně? Jen 1.99% k 2026-06-29 — méně než 3.02%, které ho mají podepsaný, ale rozbitý.
Co je záznam CAA a potřebuji ho? CAA omezuje, které certifikační autority smějí vydávat certifikáty pro vaši doménu, a blokuje třídu chybného vydání. Nastavuje ho jen 1.56% domén. Je to levné a nízkorizikové doplnění.
Měla by malá firma upřednostnit DNSSEC? Obvykle až po ověřování e-mailu a HTTPS. Ty udělejte nejprve; DNSSEC přidejte jen tehdy, pokud ho umíte správně spravovat.
Zkontrolujte zabezpečení DNS své domény zdarma
Podívejte se na svůj stav DNSSEC a CAA — a na kontroly, které jsou důležitější — soukromě a jen pro vlastníka.
Zkontrolujte svou doménu → · Opravit DNSSEC → · Opravit CAA → · Jak hodnotíme → · Pouze agregovaná data. Data uložena a zpracována v EU.