Defaults.Exposed › Aruanded
Väärseadistuste kuulsuste hall: veebi kummalisemad turvarekordid (2026)
Avaldatud 2026-06-29
Arvud seisuga 2026-06-29 · metoodika v7. Koondatud loendusandmed 261 miljoni hinnatud domeeni kohta. Iga allolev arv on tegelik, korduv muster — mitte ühekordne juhtum. Vaata kuidas me hindame.
Enamik turvatõrkeid on igavad: säte jäeti välja lülitatuks. Mõned on tõeliselt naljakad — digitaalne vaste hoone üleandmisele, kus aknal on endiselt silt „SISESTAGE ÜÜRNIKU NIMI”. Hindasime 261 miljonit domeeni; siin on rekordid, mis panid meid kaks korda vaatama.
1. Sertifikaat, mida keegi ümber ei nimetanud
Kui genereerite TLS-sertifikaadi OpenSSL-i vaikeküsimustega ja lihtsalt vajutate enter, saab organisatsiooni nimest kohatäide. Need kohatäited tuleks enne käivitamist asendada. Neid ei asendatud:
| Aktiivse sertifikaadi „Väljaandja” nimi | Saidid |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
„Internet Widgits Pty Ltd” on sõnasõnaline vaikeväärtus OpenSSL-i näidiskonfiguratsioonis — ja 244,468 avalikku saiti serveerivad sellega tembeldatud sertifikaati. Kõigi ilmsete kohatäidete ja vaikenimede peale 685,732 saiti ei vahetanud silti kunagi välja. Iga üks neist on ka ise-allkirjastatud, nii et külastajad saavad brauseri hoiatuse — nad serveerivad nii kohatäite kui ka vea.
2. DMARC, tõlkes kaduma läinud
DMARC-poliitika töötab ainult siis, kui see on täpselt p=none, p=quarantine või p=reject. 48,648 domeeni avaldasid midagi muud — poliitikasõna valesti kirjutatud või kirjutatud hoopis teises keeles (tegelikud andmed sisaldavad sõna „none” hispaania-, prantsuse- ja portugalikeelseid versioone). Kavatsus oli õige; täpne õigekiri mitte — ja DMARC aktsepteerib ainult ingliskeelset märksõna, seega pakuvad kõik need null kaitset. (Täielik, ajakohane loend koos arvudega: interneti levinumad DMARC-i kirjavead.)
3. SPF-i tervitusmatt
SPF-i kogu ülesanne on öelda, millised serverid tohivad saata kirju sinu nimel. 36,014 domeeni lõpetavad oma kirje sõnaga +all — mis tähendab täpselt vastupidist: „igal serveril internetis on luba saata minu nimel.” See on turvalisuse vaste võtme teibimisele ukse külge. Veel 7,958 lõhuvad vaikselt oma SPF-i, ületades 10 DNS-päringu piiri, mis selle täielikult tühistab. (Rohkem: SPF-i vale konfiguratsiooni aruanne.)
4. Auväärne äramärkimine: ise-allkirjastatud miljonid
Lisaks naljakatele nimedele serveerivad 3,378,080 saiti ise-allkirjastatud sertifikaati — mille nad andsid välja iseendale ja mille brauserid lükkavad tagasi. Tavaliselt ruuter, testmasin või sisemine tööriist, mis kogemata suunati avalikku internetti ega saanud kunagi päris sertifikaati.
Mis on naljakatel ühist
Igal kirjel siin on sama algpõhjus mis igavatel tõrgetel: puutumata jäetud vaikeväärtus, vahele jäetud samm, lõpetamata kopeeri-kleebi. Veeb ei kuku dramaatiliselt läbi — see kukub läbi inertsist, üks ümbernimetamata kohatäide korraga. Hea uudis: iga üks neist on viieminutiline parandus.
Korduma kippuvad küsimused
Miks nii paljud sertifikaadid ütlevad „Internet Widgits Pty Ltd”? See on vaikimisi organisatsiooni nimi OpenSSL-i näidiskonfiguratsioonis. Kui keegi genereerib sertifikaadi ja aktsepteerib vaikeväärtused, satub see kohatäide aktiivsele sertifikaadile. 244,468 avalikku saiti ei vahetanud seda kunagi.
Kas teises keeles DMARC-poliitika teeb midagi?
Ei. DMARC tunneb ära ainult täpsed märksõnad none, quarantine ja reject. Kirje, mille poliitikasõna on valesti kirjutatud või teises keeles, on kehtetu ja seda ignoreeritakse — domeen jääb võltsitavaks.
Mida teeb SPF +all? See volitab iga serveri internetis saatma e-kirju sinu domeeni nimel — halvem kui üldse SPF-i mitte omada. 36,014 domeenil see on, peaaegu alati ekslikult.
Kas need on haruldased erijuhtumid? Ei — iga üks on sadu tuhandeid kuni miljoneid domeene, leitud järjepidevalt 261 miljoni domeeni loendusest. Need on levinud vaikeväärtused, mitte veidrad õnnetused.
Kontrolli, et sinu domeen ei satuks järgmisse väljaandesse
Enamik neist on üherealised parandused. Kontrolli oma domeeni privaatselt ja tasuta — vaata oma sertifikaati, DMARC-i ja SPF-i täpselt nii, nagu internet neid näeb.
Kontrolli oma domeeni → · DMARC-i kirjavead → · SPF-i vale konfiguratsiooni aruanne → · Sertifikaadi vea aruanne → · Ainult koondatud andmed. Andmeid säilitatakse ja töödeldakse ELis.