Defaults.Exposed

Defaults.Exposed › Rapporter

Virker obligatorisk DNSSEC? Hvad registreringsdrevet udbredelse afslører (2026)

Udgivet 2026-06-29

Tal pr. 2026-06-29 · metodik v7. Aggregerede censusdata på tværs af 261 millioner bedømte domæner, efter national domæneendelse (en proxy for registrets politik, ikke virksomhedens placering). „Registerdrevet” = endelsens register fremmer aktivt DNSSEC gennem incitamenter eller krav — for det meste incitamenter til registratorer, ikke lovpåbud. „Gyldig” = en DNSSEC-kæde, der validerer; „brudt” = signeret, men fejler ved validering. Se hvordan vi bedømmer.

Får det reelt udbredelsen til at flytte sig, hvis man tvinger registratorer til at skubbe DNSSEC? Ja — afgørende — men med en hage. På endelser, hvis registre driver DNSSEC, har 9.1% af domænerne en gyldig signatur, mod blot 1.3% på endelser, der overlader det til ejerne — omtrent 7× højere. Politik virker, hvor frivillig udbredelse flader ud. Hagen: selv hos de førende er der flere domæner, der bryder DNSSEC, end der får det rigtigt — så registerpres løser at slå det til, ikke at gøre det korrekt.

Hæver det udbredelsen at skubbe DNSSEC?

Utvetydigt. Registerdrevne nationale endelser klynger sig omkring 10–18 % gyldig DNSSEC; laissez-faire-endelser ligger nær det globale gulv på 1.99%. En højere gyldig-procent er bedre; brudt-procenten er prisen for at gøre det forkert. Pr. 2026-06-29:

EndelseRegistrets holdningDNSSEC gyldigBrudt
.se (Sverige)Drevet (incitamenter til registratorer)18.38%30.35%
.no (Norge)Drevet16.59%25.24%
.sk (Slovakiet)Drevet16.61%25.59%
.cz (Tjekkiet)Drevet (incitamenter til registratorer)14.62%26.28%
.nl (Nederlandene)Drevet (incitamenter til registratorer)11.86%22.98%
.fr (Frankrig)Drevet5.13%9.54%
.comLaissez-faire1.62%2.44%
.de (Tyskland)Laissez-faire0.92%1.60%
.uk (Storbritannien)Laissez-faire1.06%1.72%

Sveriges 18.38% er mere end ti gange .com’s 1.62%. Kløften handler ikke om teknologien — det er den samme protokol overalt — men om, hvorvidt nogen i kæden havde en grund til at udrulle den.

Hagen: mere brudt end fungerende

Her kommer den ubehagelige halvdel. I hver registerdrevet endelse ovenfor er brudt-raten højere end gyldig-raten — Sverige kører 30.35% brudt mod 18.38% gyldig; Nederlandene 22.98% mod 11.86%. På tværs af alle drevne endelser er det 15.7% brudt mod 9.1% gyldig.

Det betyder noget, fordi brudt DNSSEC ikke er harmløs: en validerende resolver vil nægte at slå et domæne op, hvis signaturer ikke går op, så en fejlkonfiguration kan tage domænet offline — websted og e-mail — for en del af internettet. At drive udbredelse uden at drive korrekthed skalerer nedbruddene sammen med beskyttelsen. Det er det samme udførelsesproblem, som hele nettet viser i DNSSEC-paradokset, blot forstærket dér, hvor flere domæner forsøger sig.

Hvorfor registerpolitik slår at overlade det til ejerne

DNSSEC har ingen tvingende hændelse for en enkelt ejer: intet går i stykker eller advarer, hvis du springer det over, så på en laissez-faire-endelse som .com ligger udbredelsen fladt nær 1.62% på ubestemt tid. De registre, der brød ud af det, gjorde det gennem økonomi, ikke påbud — typisk incitamenter til registratorer (rabatter eller refusioner for at signere zoner) plus udbyderautomatisering, hvilket er, hvordan de nordiske, tjekkiske og nederlandske registre løftede hele deres population. Det er et rent naturligt eksperiment: samme protokol, samme sværhedsgrad, vidt forskellige udfald — og forskellen er registerpolitikken.

Påbud eller incitament — hvad rykker reelt nålen?

Mest incitament. Trods den „obligatoriske” indramning, som spørgsmålet som regel stilles i, opfordrer endelserne med høj udbredelse her generelt til DNSSEC snarere end at kræve det lovmæssigt; hårde påbud er sjældnere (visse regeringer kræver det for domæner i den offentlige sektor). Lærdommen for ethvert register: at rette registratorernes økonomi og automatisering mod signering virker — men det bør parres med administreret signering og nøglerotation, ellers fremstiller du blot flere brudte zoner.

Ofte stillede spørgsmål

Øger det reelt udbredelsen at kræve eller give incitament til DNSSEC? Ja — omkring 7× i vores data: 9.1% gyldig på registerdrevne endelser mod 1.3% på laissez-faire-endelser, pr. 2026-06-29.

Hvilket land eller TLD har mest DNSSEC? Blandt store endelser fører Sverige (.se) med 18.38% gyldig — over ti gange .com’s 1.62%.

Hvis udbredelsen er højere, gøres DNSSEC så korrekt? Ofte ikke. I hver endelse med høj udbredelse overgår brudt DNSSEC den gyldige (15.7% mod 9.1% på tværs af de drevne endelser) — og brudt DNSSEC kan tage et domæne offline.

Bør en lille virksomhed slå DNSSEC til? Kun hvis det administreres korrekt — en brudt signatur er værre end ingen. Brug en udbyder, der håndterer signering og nøglerotation, og bekræft, at den validerer. Se hvordan man retter DNSSEC.

Tjek dit domænes DNS

Se, om din DNSSEC er gyldig, brudt eller fraværende — og resten af din sikkerhedsposition — privat og gratis.

Tjek dit domæne → · DNSSEC-paradokset → · Hvem driver internettets DNS? → · Ret DNSSEC → · Kun aggregerede data. Data lagres og behandles i EU.