Defaults.Exposed

Defaults.Exposed › Aruanded

Mis on DNSSEC — ja kas sul on seda tegelikult vaja? (2026)

Avaldatud 2026-07-01

Näitajad seisuga 2026-06-29 · metoodika v7. Koondloendusandmed 261 miljoni hinnatud domeeni kohta. DNSSEC lisab DNS-ile krüptograafilised allkirjad, nii et lahendaja saab tõestada, et vastus tuli tõesti sinult ja seda ei ole muudetud. Vaata kuidas me hindame.

DNSSEC märgistab iga sinu domeeni DNS-vastuse allkirjaga, nii et ründaja ei saa vaikselt sisse vahetada võltsvastust ja saata su külastajaid kuhugi mujale. See on üks vähem levinud turvameetmeid veebis: ainult 1.99% 261 miljonist domeenist on kehtiv allkirjastatud usaldusahel. See on ka üks väheseid, mille puhul halb seadistus on halvem kui üldse mitte midagi — 3.02% domeenidest on allkirjastatud, kuid katki, mis võib muuta need kättesaamatuks. Siin on, mida see teeb ja kas sul on seda vaja.

Mille eest DNSSEC tegelikult kaitseb

Tavalisel DNS-il pole võimalust tõestada, et vastus on ehtne. See avab ukse vahemälu mürgitamisele ja teel toimuvale DNS-i võltsimisele — ründaja söödab lahendajale võltsitud kirje ja suunab su külastajad või su e-posti oma serverisse, ilma et ükski sertifikaadihoiatus seda reedaks. DNSSEC sulgeb selle lünga, allkirjastades kirjed nii, et valideeriv lahendaja lükkab tagasi kõik, mis ei kontrolli.

Mida see ei tee: see ei krüpteeri DNS-i, ei kaitse veebisaiti ennast ega asenda HTTPS-i, DMARC-i ega CAA-d. See on üks kiht — DNS-vastuste terviklikkus.

Levikupilt

Domeenilõpu järgi kõigub kehtiva DNSSEC-i osakaal laialt: 18.38% .se-l, 11.86% .nl-il, 14.62% .cz-l — võrreldes vaid 1.62%-ga .com-il.

Kas sul on seda vaja?

Kuidas see turvaliselt sisse lülitada

  1. Kasuta DNS-i majutajat, kes automatiseerib DNSSEC-i — allkirjastamine ja võtmete vahetamine sinu eest hallatud (enamik suuremaid teenusepakkujaid teeb seda nüüd ühe klõpsuga). Vaata paranda DNSSEC.
  2. Luba allkirjastamine ja seejärel avalda DS-kirje oma registripidaja juures, et usaldusahel lõpule viia.
  3. Valideeri, et ahel lahenduks, enne kui minema kõnnid — allkirjastatud, kuid katkine domeen on halvem kui allkirjastamata domeen.
  4. Ära kunagi halda võtmeid käsitsi, kui sul pole tööriistu nende usaldusväärseks vahetamiseks.

Korduma kippuvad küsimused

Mis on DNSSEC lihtsalt öeldes? See on digitaalsete allkirjade komplekt su DNS-kirjetel, nii et lahendajad saavad tõestada, et vastus on ehtne ja seda ei võltsitud teel.

Kas mul on DNSSEC-i tõesti vaja? Kõige väärtuslikum on see kõrge sihtväärtusega domeenide puhul ja seal, kus vastavusnõuded seda küsivad. Kõigi teiste jaoks on see hea karastamise samm, kui su DNS-i majutaja selle automatiseerib — peamine risk on valesti seadistamine, mis on praegu 3.02%-l domeenidest.

Kas DNSSEC krüpteerib mu DNS-i? Ei. See tõestab terviklikkust (vastus on autentne), kuid ei varja päringut. See on teine tehnoloogia (DoH/DoT).

Kas DNSSEC võib mu veebisaidi katki teha? Katkine või aegunud allkiri võib muuta su domeeni kättesaamatuks kõigile, kes kasutavad valideerivat lahendajat. Just seetõttu on automaatne allkirjastamine ja võtmete vahetamine olulised.

Kas DNSSEC on tasuta? Jah, enamikul kaasaegsetel DNS-i majutajatel — see on säte, mitte ost.

Kontrolli oma domeeni DNSSEC-i tasuta

Vaata, kas su domeen on allkirjastatud, kehtiv ja õigesti ahelasse ühendatud — privaatselt ja ainult omanikule.

Kontrolli oma domeeni → · Paranda DNSSEC → · Kas kohustuslik DNSSEC toimib? → · Kuidas me hindame → · Ainult koondandmed. Andmed salvestatud ja töödeldud ELis.