Defaults.Exposed › דוחות
האם DNSSEC חובה עובד? מה חושף אימוץ מונע-רשם (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים, לפי סיומת דומיין לאומית (מדד מקורב למדיניות הרשם, לא למיקום החברה). “מונע על ידי הרשם” = הרשם של הסיומת מקדם באופן פעיל את DNSSEC באמצעות תמריצים או דרישות — בעיקר תמריצים לרשמים, לא הוראות חוקיות. “תקף” = שרשרת DNSSEC שעוברת אימות; “שבור” = חתום אך נכשל באימות. ראו כיצד אנו מדרגים.
האם הכרחת רשמים לקדם DNSSEC באמת מגבירה את האימוץ? כן — באופן מכריע — אך עם מלכוד. בסיומות שהרשמים שלהן מובילים DNSSEC, ל-9.1% מהדומיינים יש חתימה תקפה, לעומת 1.3% בלבד בסיומות שמשאירות זאת לבעלים — בערך פי 7 יותר. מדיניות עובדת היכן שאימוץ וולונטרי קופא. המלכוד: אפילו אצל המובילים, יותר דומיינים שוברים את DNSSEC מאשר עושים אותו נכון — כך שלחץ הרשם פותר את ההפעלה שלו, לא את הביצוע הנכון שלו.
האם קידום DNSSEC מעלה את האימוץ?
באופן חד-משמעי. סיומות לאומיות מונעות על ידי רשם מתקבצות סביב 10–18% DNSSEC תקף; סיומות לסה-פייר נמצאות קרוב לרצפה הגלובלית של 1.99%. אחוז תקף גבוה יותר עדיף; אחוז שבור הוא המחיר של ביצוע שגוי. נכון ל-2026-06-29:
| סיומת | עמדת הרשם | DNSSEC תקף | שבור |
|---|---|---|---|
| .se (שוודיה) | מונע (תמריצים לרשמים) | 18.38% | 30.35% |
| .no (נורווגיה) | מונע | 16.59% | 25.24% |
| .sk (סלובקיה) | מונע | 16.61% | 25.59% |
| .cz (צ’כיה) | מונע (תמריצים לרשמים) | 14.62% | 26.28% |
| .nl (הולנד) | מונע (תמריצים לרשמים) | 11.86% | 22.98% |
| .fr (צרפת) | מונע | 5.13% | 9.54% |
| .com | לסה-פייר | 1.62% | 2.44% |
| .de (גרמניה) | לסה-פייר | 0.92% | 1.60% |
| .uk (הממלכה המאוחדת) | לסה-פייר | 1.06% | 1.72% |
ה-18.38% של שוודיה גבוהים פי עשרה ויותר מה-1.62% של .com. הפער אינו על הטכנולוגיה — זה אותו פרוטוקול בכל מקום — אלא על השאלה אם למישהו בשרשרת הייתה סיבה לפרוס אותו.
המלכוד: יותר שבור מאשר עובד
הנה החצי הלא נוח. בכל סיומת מונעת על ידי רשם לעיל, שיעור השבורים גבוה משיעור התקפים — שוודיה רושמת 30.35% שבורים מול 18.38% תקפים; הולנד 22.98% מול 11.86%. על פני כל הסיומות המונעות זה 15.7% שבורים מול 9.1% תקפים.
זה חשוב כי DNSSEC שבור אינו בלתי מזיק: פותר מאמת יסרב לפענח דומיין שחתימותיו אינן עומדות בבדיקה, כך שתצורה שגויה עלולה להוציא את הדומיין לא מקוון — אתר ודוא”ל — עבור חלק מהאינטרנט. הנעת אימוץ ללא הנעת תקינות מגדילה את ההשבתות לצד ההגנה. זו אותה בעיית ביצוע שכל הרשת מציגה בפרדוקס DNSSEC, רק מוגברת היכן שיותר דומיינים מנסים זאת.
מדוע מדיניות הרשם עדיפה על השארת זה לבעלים
ל-DNSSEC אין אירוע מאלץ עבור בעלים בודד: שום דבר לא נשבר או מזהיר אם תדלגו עליו, כך שבסיומת לסה-פייר כמו .com האימוץ נשאר שטוח סביב 1.62% ללא הגבלת זמן. הרשמים שפרצו מזה עשו זאת באמצעות כלכלה, לא צווים — בדרך כלל תמריצים לרשמים (הנחות או החזרים על חתימת אזורים) בתוספת אוטומציה של הספק, וכך הרשמים הנורדיים, הצ’כי וההולנדי הרימו את כל אוכלוסיותיהם. זהו ניסוי טבעי נקי: אותו פרוטוקול, אותה קושי, תוצאות שונות מאוד — וההבדל הוא מדיניות הרשם.
הוראה או תמריץ — מה באמת מזיז את המחט?
בעיקר תמריץ. למרות מסגור ה”חובה” שאיתו השאלה מוצגת בדרך כלל, הסיומות בעלות האימוץ הגבוה כאן בדרך כלל מעודדות DNSSEC במקום לדרוש אותו חוקית; הוראות נוקשות נדירות יותר (חלק מהממשלות דורשות זאת עבור דומיינים של המגזר הציבורי). הלקח לכל רשם: יישור הכלכלה של הרשמים והאוטומציה לעבר חתימה עובד — אך יש לשלב אותו עם חתימה מנוהלת והחלפת מפתחות, אחרת אתם פשוט מייצרים יותר אזורים שבורים.
שאלות נפוצות
האם דרישה או תמרוץ של DNSSEC באמת מגבירים את האימוץ? כן — בערך פי 7 בנתונים שלנו: 9.1% תקפים בסיומות מונעות על ידי רשם מול 1.3% בסיומות לסה-פייר, נכון ל-2026-06-29.
לאיזו מדינה או TLD יש הכי הרבה DNSSEC?
בין הסיומות הגדולות, שוודיה (.se) מובילה עם 18.38% תקפים — פי עשרה ויותר מה-1.62% של .com.
אם האימוץ גבוה יותר, האם DNSSEC נעשה נכון? לעיתים קרובות לא. בכל סיומת בעלת אימוץ גבוה, DNSSEC שבור עולה במספרו על התקף (15.7% מול 9.1% על פני הסיומות המונעות) — ו-DNSSEC שבור עלול להוציא דומיין לא מקוון.
האם עסק קטן צריך להפעיל DNSSEC? רק אם הוא מנוהל נכון — חתימה שבורה גרועה מאין חתימה כלל. השתמשו בספק שמטפל בחתימה ובהחלפת מפתחות, וודאו שהוא עובר אימות. ראו כיצד לתקן DNSSEC.
בדקו את ה-DNS של הדומיין שלכם
ראו אם ה-DNSSEC שלכם תקף, שבור או נעדר — ואת שאר עמידת האבטחה שלכם — באופן פרטי וחינם.
בדקו את הדומיין שלכם ← · פרדוקס DNSSEC ← · מי מפעיל את ה-DNS של האינטרנט? ← · תקנו DNSSEC ← · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.