Defaults.Exposed

Defaults.Exposed › Raportit

Virhekonfiguraatioiden kunniagalleria: verkon oudoimmat turvatietueet (2026)

Julkaistu 2026-06-29

Luvut tilanteessa 2026-06-29 · menetelmä v7. Koottua väestönlaskentadataa 261 miljoonan arvostellun verkkotunnuksen joukosta. Jokainen alla oleva luku on todellinen, toistuva kuvio — ei kertaluonteinen tapaus. Katso miten arvostelemme.

Useimmat tietoturvaepäonnistumiset ovat tylsiä: asetus jätettiin pois päältä. Muutama on aidosti hauska — digitaalinen vastine sille, että rakennus luovutetaan «LISÄÄ VUOKRALAISEN NIMI» -kyltti yhä ikkunassa. Arvostelimme 261 miljoonaa verkkotunnusta; tässä ovat ennätykset, jotka saivat meidät katsomaan kahdesti.

1. Varmenne, jota kukaan ei nimennyt uudelleen

Kun luot TLS-varmenteen OpenSSL:n oletuskehotteilla ja painat vain enteriä, organisaation nimestä tulee paikkamerkki. Nämä paikkamerkit on tarkoitus korvata ennen tuotantoon siirtymistä. Niitä ei korvattu:

Aktiivisen varmenteen «Myöntäjä»-nimiSivustot
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» on kirjaimellinen oletusarvo OpenSSL:n esimerkkikonfiguraatiossa — ja 244,468 julkista sivustoa tarjoilee sillä leimattua varmennetta. Kaikkien ilmeisten paikkamerkki- ja oletusnimien osalta 685,732 sivustoa ei koskaan vaihtanut kylttiä. Jokainen niistä on myös itse allekirjoitettu, joten kävijät saavat selainvaroituksen — ne toimittavat paikkamerkin ja virheen.

2. DMARC, kadonnut käännöksessä

DMARC-käytäntö toimii vain, jos se lukee tarkalleen p=none, p=quarantine tai p=reject. 48,648 verkkotunnusta julkaisi jotain muuta — käytäntösana kirjoitettu väärin tai kokonaan toisella kielellä (todellinen data sisältää espanjan-, ranskan- ja portugalinkielisiä käännöksiä sanasta «none»). Aikomus oli oikea; tarkka oikeinkirjoitus ei ollut — ja DMARC hyväksyy vain englanninkielisen avainsanan, joten kaikki ne tarjoavat nollasuojan. (Täydellinen, ajantasainen lista lukumäärineen: internetin yleisimmät DMARC-kirjoitusvirheet.)

3. SPF:n tervetulomatto

SPF:n koko tehtävä on kertoa, mitkä palvelimet saavat lähettää sähköpostia puolestasi. 36,014 verkkotunnusta päättää tietueensa merkintään +all — joka tarkoittaa täysin päinvastaista: «mikä tahansa palvelin internetissä on valtuutettu lähettämään puolestani.» Se on tietoturvan vastine avaimen teippaamiselle oveen. Lisäksi 7,958 rikkoo hiljaa SPF:nsä ylittämällä 10 DNS-haun rajan, mitätöiden sen kokonaan. (Lisää: SPF:n virhekonfiguraatioraportti.)

4. Kunniamaininta: itse allekirjoitetut miljoonat

Hauskoja nimiä laajemmin, 3,378,080 sivustoa tarjoilee itse allekirjoitettua varmennetta — sellaista, jonka ne myönsivät itselleen ja jonka selaimet hylkäävät. Yleensä reititin, testikone tai sisäinen työkalu, joka vahingossa osoitettiin julkiseen internetiin eikä koskaan saanut oikeaa varmennetta.

Mitä hauskoilla on yhteistä

Jokaisella tämän merkinnällä on sama perussyy kuin tylsillä epäonnistumisilla: koskematta jätetty oletus, ohitettu vaihe, kesken jäänyt kopioi-liitä. Verkko ei epäonnistu dramaattisesti — se epäonnistuu hitaudesta, yksi nimeämättä jätetty paikkamerkki kerrallaan. Hyvä puoli: jokainen näistä on viiden minuutin korjaus.

Usein kysytyt kysymykset

Miksi niin monessa varmenteessa lukee «Internet Widgits Pty Ltd»? Se on oletusorganisaation nimi OpenSSL:n esimerkkikonfiguraatiossa. Kun joku luo varmenteen ja hyväksyy oletukset, tuo paikkamerkki päätyy aktiiviseen varmenteeseen. 244,468 julkista sivustoa ei koskaan vaihtanut sitä.

Tekeekö toisella kielellä kirjoitettu DMARC-käytäntö mitään? Ei. DMARC tunnistaa vain tarkat avainsanat none, quarantine ja reject. Tietue, jossa käytäntösana on kirjoitettu väärin tai toisella kielellä, on virheellinen ja jätetään huomiotta — verkkotunnus pysyy väärennettävissä.

Mitä SPF +all tekee? Se valtuuttaa jokaisen internetin palvelimen lähettämään sähköpostia verkkotunnuksesi nimissä — pahempi kuin ei SPF:ää lainkaan. 36,014 verkkotunnusta on sellainen, lähes aina vahingossa.

Ovatko nämä harvinaisia reunatapauksia? Ei — jokainen on satoja tuhansia tai miljoonia verkkotunnuksia, löydetty johdonmukaisesti 261 miljoonan verkkotunnuksen väestönlaskennasta. Ne ovat yleisiä oletuksia, eivät kummallisia vahinkoja.

Tarkista, ettei verkkotunnuksesi päädy seuraavaan painokseen

Useimmat näistä ovat yhden rivin korjauksia. Tarkista verkkotunnuksesi yksityisesti ja ilmaiseksi — näe varmenteesi, DMARC ja SPF tarkalleen niin kuin internet ne näkee.

Tarkista verkkotunnuksesi → · DMARC-kirjoitusvirheet → · SPF:n virhekonfiguraatioraportti → · Varmennevirheraportti → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.