Defaults.Exposed

Defaults.Exposed › Aruanded

DNSSEC-i paradoks: rohkem domeene rikub seda, kui teeb õigesti (2026)

Avaldatud 2026-06-29

Arvud seisuga 2026-06-29 · metoodika v7. Koondloenduse andmed 261 miljoni hinnatud domeeni kohta. Vaata kuidas me hindame.

DNSSEC peaks tegema su domeeni kaaperdamise raskemaks — kuid see on nii tujukas, et rohkematel domeenidel on see katki kui korralikult töötamas. 261 miljoni domeeni seas on 3.02% allkirjastatud, kuid katkine DNSSEC, võrreldes vaid 1.99%, kellel see kehtib. Ülejäänud 94.99% ei proovigi seda. DNS on kiht, mille turvavestlus unustab — ja arvud näitavad seda.

Mida andmed ütlevad

DNSSEC olekDomeenide osakaal
Kehtiv (allkirjastatud, töötab)1.99%
Katki (allkirjastatud, valesti seadistatud)3.02%
Üldse allkirjastamata94.99%

Katki reas on rohkem domeene kui kehtiva reas. See ongi paradoks: väikese vähemuse seas, kes DNSSEC-i sisse lülitab, seadistab enamik selle valesti.

Miks on katkine DNSSEC halvem kui DNSSEC-i puudumine?

Allkirjastamata DNSSEC on lihtsalt kaitsmata. Katkine DNSSEC on aktiivselt ohtlik: valideeriv resolver keeldub lahendamast domeeni, mille allkirjad ei kontrollu, nii et vale seadistus võib viia su domeeni osa interneti jaoks täiesti võrgust välja — pole veebisaiti, pole e-posti — kuni see on parandatud. Just see funktsioon, mis pidi sind kaitsma, muutub enda tekitatud katkestuseks. See risk koos tõeliselt keeruka võtmevahetuse ja registripidajale üleandmisega ongi põhjus, miks kasutuselevõtt püsib peaaegu põhjas.

Laiem DNS-i turvalisuse lünk

DNSSEC pole ainus hooletusse jäetud DNS-i juhtelement. CAA-kirjed — mis piiravad, kes võib su domeenile TLS-sertifikaate väljastada, ja blokeerivad vaikselt ühe väärväljastamise rünnakute klassi — esinevad vaid 1.56% domeenidest. DNS on alustala: kui see kaaperdatakse, saab kõikidest järgnevatest juhtelementidest mööda minna. Ometi on see kiht, mida kõige vähem omanikke kunagi puudutab.

Kas ma peaksin DNSSEC-i sisse lülitama?

Enamiku väikeettevõtete jaoks on prioriteetide järjekord esmalt e-posti autentimine ja HTTPS — need peatavad rünnakud, millega tegelikult iga päev kokku puutud. DNSSEC on oluline, kuid ainult õigesti tehtuna: katkine allkiri on halvem kui puuduv. Kui selle lubad, kasuta teenusepakkujat, kes haldab allkirjastamist ja võtmevahetust sinu eest, ning kontrolli pärast, et see valideerub otsast otsani. Vaata paranda DNSSEC ja paranda CAA.

Korduma kippuvad küsimused

Kas katkine DNSSEC on tõesti halvem kui DNSSEC-i puudumine? Jah. DNSSEC-i puudumine tähendab lihtsalt lisakaitse puudumist. Katkine DNSSEC võib põhjustada, et su domeen ei lahendu valideerivates võrkudes — viies su saidi ja e-posti võrgust välja, kuni see on parandatud.

Kui suur osa domeenidest kasutab DNSSEC-i õigesti? Vaid 1.99% seisuga 2026-06-29 — vähem kui 3.02%, kellel see on allkirjastatud, kuid katki.

Mis on CAA-kirje ja kas mul on seda vaja? CAA piirab, millised sertifitseerimisasutused võivad su domeenile sertifikaate väljastada, blokeerides ühe väärväljastamise klassi. Vaid 1.56% domeenidest seab selle. See on odav, väikese riskiga lisandus.

Kas väikeettevõte peaks DNSSEC-i prioriteediks seadma? Tavaliselt pärast e-posti autentimist ja HTTPS-i. Tee need esmalt; lisa DNSSEC ainult siis, kui suudad seda õigesti hallata.

Kontrolli oma domeeni DNS-i turvalisust tasuta

Vaata oma DNSSEC-i ja CAA olekut — ning olulisemaid juhtelemente — privaatselt ja ainult omanikule.

Kontrolli oma domeeni → · Paranda DNSSEC → · Paranda CAA → · Kuidas me hindame → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse EL-is.