Defaults.Exposed › Rapporter
DNSSEC-paradokset: Flere domæner bryder det, end der får det rigtigt (2026)
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata på tværs af 261 millioner bedømte domæner. Se hvordan vi bedømmer.
DNSSEC skal gøre dit domæne sværere at kapre — men det er så fummelt, at flere domæner har det i stykker end fungerende. På tværs af 261 millioner domæner har 3.02% signeret, men ødelagt DNSSEC, mod blot 1.99%, der har det gyldigt. De resterende 94.99% forsøger slet ikke. DNS er det lag, som sikkerhedssamtalen glemmer — og tallene viser det.
Hvad dataene siger
| DNSSEC-tilstand | Andel af domæner |
|---|---|
| Gyldig (signeret, fungerende) | 1.99% |
| Ødelagt (signeret, fejlkonfigureret) | 3.02% |
| Slet ikke signeret | 94.99% |
Flere domæner ligger i rækken ødelagt end i rækken gyldig. Det er paradokset: blandt det lille mindretal, der slår DNSSEC til, gør flertallet det forkert.
Hvorfor er ødelagt DNSSEC værre end ingen DNSSEC?
Usigneret DNSSEC er ganske enkelt ubeskyttet. Ødelagt DNSSEC er aktivt farligt: en validerende resolver nægter at opslå et domæne, hvis signaturer ikke stemmer, så en fejlkonfiguration kan tage dit domæne helt offline for en del af internettet — ingen hjemmeside, ingen e-mail — indtil det er rettet. Selve den funktion, der skal beskytte dig, bliver til et selvforskyldt nedbrud. Den risiko, plus reelt drilsk nøglerotation og overdragelse mellem registratorer, er grunden til, at udbredelsen forbliver tæt på bunden.
Det bredere hul i DNS-sikkerheden
DNSSEC er ikke den eneste forsømte DNS-kontrol. CAA-poster — som begrænser, hvem der må udstede TLS-certifikater til dit domæne, og stille blokerer en klasse af fejludstedelsesangreb — findes på blot 1.56% af domænerne. DNS er grundlæggende: hvis det kapres, kan enhver anden efterfølgende kontrol omgås. Alligevel er det laget, som færrest ejere nogensinde rører.
Bør jeg slå DNSSEC til?
For de fleste små virksomheder er prioriteringsrækkefølgen e-mailgodkendelse og HTTPS først — det er dem, der stopper de angreb, du faktisk møder dagligt. DNSSEC betyder noget, men kun gjort korrekt: en ødelagt signatur er værre end ingen. Hvis du slår det til, så brug en udbyder, der håndterer signering og nøglerotation for dig, og kontrollér bagefter, at det validerer hele vejen igennem. Se ret DNSSEC og ret CAA.
Ofte stillede spørgsmål
Er ødelagt DNSSEC virkelig værre end ingen DNSSEC? Ja. Ingen DNSSEC betyder bare ingen ekstra beskyttelse. Ødelagt DNSSEC kan få dit domæne til ikke at blive opslået på validerende netværk — hvilket tager dit websted og din e-mail offline, indtil det er rettet.
Hvor stor en andel af domænerne bruger DNSSEC korrekt? Kun 1.99% pr. 2026-06-29 — færre end de 3.02%, der har det signeret, men ødelagt.
Hvad er en CAA-post, og har jeg brug for en? CAA begrænser, hvilke certifikatmyndigheder der må udstede certifikater til dit domæne, og blokerer en klasse af fejludstedelse. Kun 1.56% af domænerne sætter en. Det er en billig tilføjelse med lav risiko.
Bør en lille virksomhed prioritere DNSSEC? Som regel efter e-mailgodkendelse og HTTPS. Gør dem først; tilføj kun DNSSEC, hvis du kan håndtere det korrekt.
Tjek dit domænes DNS-sikkerhed gratis
Se din DNSSEC- og CAA-status — og de kontroller, der betyder mere — privat og kun for ejeren.
Tjek dit domæne → · Ret DNSSEC → · Ret CAA → · Hvordan vi bedømmer → · Kun aggregerede data. Data lagres og behandles i EU.