Defaults.Exposed

Defaults.Exposed › Raportit

DNSSEC-paradoksi: useammat verkkotunnukset rikkovat sen kuin tekevät oikein (2026)

Julkaistu 2026-06-29

Luvut päivämäärältä 2026-06-29 · menetelmä v7. Koottua väestönlaskentadataa 261 miljoonasta arvioidusta verkkotunnuksesta. Katso miten arvioimme.

DNSSECin on tarkoitus vaikeuttaa verkkotunnuksesi kaappaamista — mutta se on niin nirso, että useammalla verkkotunnuksella se on rikki kuin kunnossa. 261 miljoonasta verkkotunnuksesta 3.02% on allekirjoitettu mutta rikkinäinen DNSSEC, kun taas vain 1.99% on se kelvollisena. Loput 94.99% eivät yritä sitä lainkaan. DNS on kerros, jonka tietoturvakeskustelu unohtaa — ja luvut osoittavat sen.

Mitä data kertoo

DNSSEC-tilaOsuus verkkotunnuksista
Kelvollinen (allekirjoitettu, toimii)1.99%
Rikki (allekirjoitettu, väärin määritetty)3.02%
Ei allekirjoitettu lainkaan94.99%

Useampi verkkotunnus on rikki-rivillä kuin kelvollinen-rivillä. Siinä on paradoksi: pienestä vähemmistöstä, joka ottaa DNSSECin käyttöön, enemmistö tekee sen väärin.

Miksi rikkinäinen DNSSEC on pahempi kuin ei DNSSECiä lainkaan?

Allekirjoittamaton DNSSEC on yksinkertaisesti suojaamaton. Rikkinäinen DNSSEC on aktiivisesti vaarallinen: validoiva resolveri kieltäytyy selvittämästä verkkotunnusta, jonka allekirjoitukset eivät täsmää, joten väärä määritys voi viedä verkkotunnuksesi kokonaan offline-tilaan osalle internetiä — ei verkkosivustoa, ei sähköpostia — kunnes se korjataan. Juuri se ominaisuus, jonka oli tarkoitus suojata sinua, muuttuu itse aiheutetuksi katkokseksi. Tämä riski sekä aidosti hankala avaintenvaihto ja rekisterinpitäjälle siirto ovat syy siihen, että käyttöönotto pysyy lähellä pohjaa.

Laajempi DNS-tietoturvan aukko

DNSSEC ei ole ainoa laiminlyöty DNS-hallintakeino. CAA-tietueet — jotka rajoittavat, kuka voi myöntää TLS-varmenteita verkkotunnuksellesi, ja estävät hiljaa erään väärinmyöntöhyökkäysten luokan — ovat vain 1.56%:lla verkkotunnuksista. DNS on perustavanlaatuinen: jos se kaapataan, jokainen muu alavirran hallintakeino voidaan ohittaa. Silti se on kerros, johon harvimmat omistajat koskaan koskevat.

Pitäisikö minun ottaa DNSSEC käyttöön?

Useimmille pienyrityksille tärkeysjärjestys on ensin sähköpostin todennus ja HTTPS — ne pysäyttävät hyökkäykset, joita todella kohtaat päivittäin. DNSSECillä on merkitystä, mutta vain oikein tehtynä: rikkinäinen allekirjoitus on pahempi kuin ei mitään. Jos otat sen käyttöön, käytä palveluntarjoajaa, joka hoitaa allekirjoituksen ja avaintenvaihdon puolestasi, ja varmista jälkeenpäin, että se validoituu päästä päähän. Katso korjaa DNSSEC ja korjaa CAA.

Usein kysytyt kysymykset

Onko rikkinäinen DNSSEC todella pahempi kuin ei DNSSECiä lainkaan? Kyllä. Ei DNSSECiä tarkoittaa vain, ettei ole lisäsuojaa. Rikkinäinen DNSSEC voi saada verkkotunnuksesi epäonnistumaan selvityksessä validoivissa verkoissa — viedään sivustosi ja sähköpostisi offline-tilaan, kunnes se on korjattu.

Kuinka suuri osuus verkkotunnuksista käyttää DNSSECiä oikein? Vain 1.99% päivämäärältä 2026-06-29 — vähemmän kuin ne 3.02%, joilla se on allekirjoitettu mutta rikki.

Mikä on CAA-tietue ja tarvitsenko sellaisen? CAA rajoittaa, mitkä varmentajat voivat myöntää varmenteita verkkotunnuksellesi, estäen erään väärinmyöntöjen luokan. Vain 1.56% verkkotunnuksista asettaa sellaisen. Se on halpa, matalan riskin lisäys.

Pitäisikö pienyrityksen priorisoida DNSSEC? Yleensä sähköpostin todennuksen ja HTTPS:n jälkeen. Tee ne ensin; lisää DNSSEC vain, jos pystyt hallitsemaan sen oikein.

Tarkista verkkotunnuksesi DNS-tietoturva ilmaiseksi

Katso DNSSEC- ja CAA-tilasi — ja tärkeämmät hallintakeinot — yksityisesti ja vain omistajalle.

Tarkista verkkotunnuksesi → · Korjaa DNSSEC → · Korjaa CAA → · Miten arvioimme → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.