Defaults.Exposed › Aruanded
HTTP turvaräisete hinneteleht: kuidas veeb 2026. aastal punkte kogub
Avaldatud 2026-06-29
Andmed seisuga 2026-06-29 · metoodika v7. Koondatud loendusandmed 261 miljoni hinnatud domeeni kohta. Päiste kontrolle vaadeldakse vastustes, milleni suutsime jõuda. Vaata kuidas me hindame.
HTTP turvapäised on veebi odavaimate kaitsete seas — mõni rida seadistust, ilma kuluta — ja andmed näitavad, et need jäetakse peaaegu üldiselt vahele. 261 miljoni domeeni hulgas seab ainult 4.03% iga põhipäise õigesti. Iga päis blokeerib konkreetse, päris rünnaku — clickjacking, sisu süstimine, protokolli alandamine, referreri leke — ja igaüks puudub valdaval enamikul saitidel.
Hinnetelehe
Kõrgem on parem — nende domeenide osakaal, mis seavad iga päise õigesti. Seisuga 2026-06-29:
| Päis | Mida see peatab | Domeenid, mis selle seavad |
|---|---|---|
| HSTS (Strict-Transport-Security) | Alandamine HTTPS-ist HTTP-le | 22.91% HTTPS-saitidest |
| Content-Security-Policy | Cross-site scripting / sisu süstimine | 8.87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14.48% |
| X-Content-Type-Options (nosniff) | MIME-tüübi segadusrünnakud | 16.65% |
| Referrer-Policy | Külastajate URL-ide lekitamine kolmandatele osapooltele | 10.10% |
| Kõik eelnev („vaikimisi turvaline”) | Täiskomplekt | 4.03% |
Content-Security-Policy — tugevaim kaitse cross-site scripting’i vastu — on peamine ebaõnnestumine: ainult 8.87% domeenidest pakub tõhusat. Ja ainult 4.03% seab kogu komplekti õigesti.
Miks nii madal, kui need on tasuta?
Enamik servereid ja platvorme ei paigalda päiseid vaikimisi, seega ilmuvad need ainult siis, kui keegi need teadlikult lisab. Nende puudumise eest pole mingit hirmutavat hoiatust — erinevalt aegunud sertifikaadist on puuduv päis saidi omanikule ja külastajatele nähtamatu kuni hetkeni, mil seda ära kasutatakse. Just see nähtamatus ongi põhjus, miks kõige olulisemate päiste kasutuselevõtt püsib ühekohalistes numbrites.
Milliseid päiseid peaksin eelistama?
Enamiku saitide puhul, järjekorras:
- HSTS — kui oled HTTPS-il, lukusta see. Paranda HSTS.
- Clickjacking’i kaitse — üherealine päis, mis takistab su lehtede raamimist. Paranda clickjacking.
- X-Content-Type-Options: nosniff ja Referrer-Policy — triviaalselt lihtne lisada. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — võimsaim ja kõige töömahukam; väärt hoolikalt teha. Paranda CSP.
Korduma kippuvad küsimused
Mis on HTTP turvapäised? Juhised, mida server saadab iga lehega, käskides brauseril jõustada kaitsed — blokeerida raamimine, keelduda segasisust, piirata skripte. Need on tasuta seadistus, mitte tarkvara.
Miks seab need kõik ainult 4.03% veebist? Sest need on valikulised ja nähtamatud. Kui need puuduvad, ei lähe miski katki ega hoiata, seega enamik saite ei lisa neid kunagi — kuni rünnak kasutab lünka ära.
Milline päis on kõige tähtsam? HSTS ja Content-Security-Policy pakuvad kõige rohkem kaitset. CSP on tugevaim kaitse cross-site scripting’i vastu, kuid selle juurutamine nõuab kõige rohkem hoolt.
Kuidas näha, millised päised minu saidil puuduvad? Käivita tasuta, privaatne kontroll (allpool) — see loetleb iga päise ja kas sa selle seadsid.
Kontrolli oma turvapäiseid tasuta
Näe oma päiste täielikku hinnetelehte — ja täpselt mida lisada — privaatselt ja ainult omanikule.
Kontrolli oma domeeni → · Paranda CSP → · Paranda HSTS → · Kuidas me hindame → · Ainult koondandmed. Andmed salvestatud ja töödeldud ELis.