Defaults.Exposed › Rapporter
Fejlkonfigurationernes Hall of Fame: Nettets mærkeligste sikkerhedsrekorder (2026)
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata på tværs af 261 millioner bedømte domæner. Hvert tal nedenfor er et reelt, tilbagevendende mønster — ikke et engangstilfælde. Se hvordan vi bedømmer.
De fleste sikkerhedsfejl er kedelige: en indstilling efterladt slået fra. Nogle få er virkelig sjove — den digitale pendant til at aflevere bygningen med skiltet “INDSÆT LEJERS NAVN” stadig i vinduet. Vi bedømte 261 millioner domæner; her er rekorderne, der fik os til at kigge to gange.
1. Certifikatet, ingen omdøbte
Når du genererer et TLS-certifikat med OpenSSL’s standardprompter og bare trykker på Enter, bliver organisationsnavnet til en pladsholder. Disse pladsholdere er ment til at blive erstattet, før det går i drift. Det blev de ikke:
| “Udstedt af”-navn på det aktive certifikat | Sites |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
“Internet Widgits Pty Ltd” er den bogstavelige standardværdi i OpenSSL’s eksempelkonfiguration — og 244,468 offentlige sites serverer et certifikat stemplet med det. På tværs af alle de oplagte pladsholder- og standardnavne har 685,732 sites aldrig skiftet skiltet. Hver eneste af dem er også selvsigneret, så besøgende får en browseradvarsel — de leverer pladsholderen og fejlen.
2. DMARC, gået tabt i oversættelsen
En DMARC-politik virker kun, hvis den lyder præcis p=none, p=quarantine eller p=reject. 48,648 domæner offentliggjorde noget andet — politikordet stavet forkert eller skrevet helt på et andet sprog (de levende data inkluderer spanske, franske og portugisiske udgaver af “none”). Hensigten var rigtig; den præcise stavning var ikke — og DMARC accepterer kun det engelske nøgleord, så de giver alle nul beskyttelse. (Fuld, aktuel liste med antal: internettets mest almindelige DMARC-stavefejl.)
3. SPF-velkomstmåtten
SPF’s eneste opgave er at angive, hvilke servere der må sende mail i dit navn. 36,014 domæner afslutter deres post med +all — hvilket betyder det stik modsatte: “enhver server på internettet er autoriseret til at sende i mit navn.” Det er sikkerhedspendanten til at tape sin nøgle fast på døren. Yderligere 7,958 ødelægger stille deres SPF ved at overskride grænsen på 10 DNS-opslag, hvilket ugyldiggør den helt. (Mere: rapporten om SPF-fejlkonfiguration.)
4. Hædrende omtale: de selvsignerede millioner
Ud over de sjove navne serverer 3,378,080 sites et selvsigneret certifikat — et, de udstedte til sig selv, og som browsere afviser. Som regel en router, en testmaskine eller et internt værktøj, der ved et uheld blev rettet mod det offentlige internet og aldrig fik et rigtigt certifikat.
Hvad de sjove har til fælles
Hver post her har samme grundårsag som de kedelige fejl: en urørt standardværdi, et springet trin, en uafsluttet kopier-og-indsæt. Nettet fejler ikke dramatisk — det fejler ved træghed, én uomdøbt pladsholder ad gangen. Det positive: hver eneste af disse er en femminutters rettelse.
Ofte stillede spørgsmål
Hvorfor siger så mange certifikater “Internet Widgits Pty Ltd”? Det er standardorganisationsnavnet i OpenSSL’s eksempelkonfiguration. Når nogen genererer et certifikat og accepterer standardværdierne, ender den pladsholder på det aktive certifikat. 244,468 offentlige sites skiftede det aldrig.
Gør en DMARC-politik på et andet sprog noget?
Nej. DMARC genkender kun de præcise nøgleord none, quarantine og reject. En post med politikordet stavet forkert eller skrevet på et andet sprog er ugyldig og ignoreres — domænet forbliver muligt at forfalske.
Hvad gør SPF +all? Det autoriserer enhver server på internettet til at sende e-mail i dit domænes navn — værre end slet ikke at have SPF. 36,014 domæner har det, næsten altid ved en fejl.
Er disse sjældne specialtilfælde? Nej — hver enkelt udgør hundredtusinder til millioner af domæner, fundet konsekvent på tværs af en folketælling af 261 millioner domæner. Det er almindelige standardværdier, ikke mærkelige uheld.
Tjek, at dit domæne ikke er i den næste udgave
De fleste af disse er rettelser på én linje. Tjek dit domæne privat og gratis — se dit certifikat, DMARC og SPF præcis, som internettet ser dem.
Tjek dit domæne → · DMARC-stavefejl → · Rapport om SPF-fejlkonfiguration → · Rapporten om certifikatfejl → · Kun aggregerede data. Data lagres og behandles i EU.