Defaults.Exposed

Defaults.Exposed › گزارش‌ها

پارادوکس DNSSEC: دامنه‌های بیشتری آن را می‌شکنند تا درست انجامش دهند (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری تجمیعی در میان 261 میلیون دامنه‌ی نمره‌گذاری‌شده. ببینید چگونه نمره می‌دهیم.

قرار است DNSSEC ربودن دامنه‌ی شما را دشوارتر کند — اما آن‌قدر پیچیده است که دامنه‌های بیشتری آن را خراب دارند تا درست. در میان 261 میلیون دامنه، 3.02% دارای DNSSEC امضاشده اما خراب هستند، در برابر تنها 1.99% که آن را معتبر دارند. 94.99% باقی‌مانده اصلاً تلاشی نمی‌کنند. DNS همان لایه‌ای است که گفت‌وگوی امنیتی فراموشش می‌کند — و اعداد این را نشان می‌دهند.

داده‌ها چه می‌گویند

وضعیت DNSSECسهم از دامنه‌ها
معتبر (امضاشده، کارآمد)1.99%
خراب (امضاشده، پیکربندی نادرست)3.02%
اصلاً امضا نشده94.99%

دامنه‌های بیشتری در ردیف خراب قرار دارند تا در ردیف معتبر. این همان پارادوکس است: در میان اقلیت کوچکی که DNSSEC را روشن می‌کنند، اکثریت آن را اشتباه پیکربندی می‌کنند.

چرا DNSSEC خراب بدتر از نبود DNSSEC است؟

DNSSEC امضانشده صرفاً محافظت‌نشده است. DNSSEC خراب فعالانه خطرناک است: یک resolver معتبرسنج از پاسخ‌دهی به دامنه‌ای که امضاهایش تأیید نمی‌شوند سر باز می‌زند، بنابراین یک پیکربندی نادرست می‌تواند دامنه‌ی شما را برای بخشی از اینترنت کاملاً آفلاین کند — نه وب‌سایتی، نه ایمیلی — تا زمانی که برطرف شود. همان قابلیتی که قرار بود از شما محافظت کند به یک قطعی خودخواسته تبدیل می‌شود. این خطر، به‌علاوه‌ی چرخش کلید و تحویل به ثبت‌کننده که واقعاً دشوارند، دلیل آن است که پذیرش نزدیک به کف باقی می‌ماند.

شکاف گسترده‌تر امنیت DNS

DNSSEC تنها کنترل DNS مغفول‌مانده نیست. رکوردهای CAA — که محدود می‌کنند چه کسی می‌تواند گواهی‌های TLS را برای دامنه‌ی شما صادر کند و بی‌سروصدا دسته‌ای از حملات صدور نادرست را مسدود می‌کنند — تنها روی 1.56% دامنه‌ها وجود دارند. DNS بنیادین است: اگر ربوده شود، هر کنترل پایین‌دستی دیگر قابل دور زدن است. با این حال این لایه‌ای است که کمترین مالکان به آن دست می‌زنند.

آیا باید DNSSEC را روشن کنم؟

برای بیشتر کسب‌وکارهای کوچک، ترتیب اولویت‌ها ابتدا احراز هویت ایمیل و HTTPS است — اینها حملاتی را که واقعاً روزانه با آنها روبه‌رو هستید متوقف می‌کنند. DNSSEC مهم است، اما تنها اگر درست انجام شود: یک امضای خراب بدتر از نبود آن است. اگر آن را فعال می‌کنید، از ارائه‌دهنده‌ای استفاده کنید که امضا و چرخش کلید را برایتان مدیریت می‌کند و سپس تأیید کنید که سرتاسر معتبرسنجی می‌شود. ببینید اصلاح DNSSEC و اصلاح CAA.

پرسش‌های پرتکرار

آیا DNSSEC خراب واقعاً بدتر از نبود DNSSEC است؟ بله. نبود DNSSEC فقط یعنی نبود محافظت اضافی. DNSSEC خراب می‌تواند باعث شود دامنه‌ی شما برای شبکه‌های معتبرسنج پاسخ ندهد — و سایت و ایمیل شما را تا زمان رفع خرابی آفلاین کند.

چه سهمی از دامنه‌ها DNSSEC را درست به‌کار می‌برند؟ تنها 1.99% تا تاریخ 2026-06-29 — کمتر از 3.02% که آن را امضاشده اما خراب دارند.

رکورد CAA چیست و آیا به آن نیاز دارم؟ CAA محدود می‌کند که کدام مراجع صدور گواهی می‌توانند برای دامنه‌ی شما گواهی صادر کنند و دسته‌ای از صدور نادرست را مسدود می‌کند. تنها 1.56% دامنه‌ها آن را تنظیم می‌کنند. افزوده‌ای ارزان و کم‌خطر است.

آیا یک کسب‌وکار کوچک باید DNSSEC را در اولویت بگذارد؟ معمولاً پس از احراز هویت ایمیل و HTTPS. ابتدا آنها را انجام دهید؛ DNSSEC را تنها در صورتی اضافه کنید که بتوانید آن را درست مدیریت کنید.

امنیت DNS دامنه‌ی خود را رایگان بررسی کنید

وضعیت DNSSEC و CAA خود — و کنترل‌هایی که اهمیت بیشتری دارند — را به‌صورت خصوصی و تنها برای مالک ببینید.

دامنه‌ی خود را بررسی کنید → · اصلاح DNSSEC → · اصلاح CAA → · چگونه نمره می‌دهیم → · تنها داده‌های تجمیعی. داده‌ها در اتحادیه‌ی اروپا ذخیره و پردازش می‌شوند.