Defaults.Exposed › דוחות
היכל התהילה של תצורות שגויות: רשומות האבטחה המוזרות ביותר של הרשת (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים. כל מספר למטה הוא דפוס אמיתי וחוזר — לא מקרה חד-פעמי. ראו כיצד אנו מדרגים.
רוב כשלי האבטחה משעממים: הגדרה שנשארה כבויה. כמה מהם משעשעים באמת — המקבילה הדיגיטלית למסירת המבנה כשהשלט «הכניסו את שם השוכר» עדיין בחלון. דירגנו 261 מיליון דומיינים; הנה השיאים שגרמו לנו להביט פעמיים.
1. התעודה שאיש לא שינה את שמה
כשמייצרים תעודת TLS עם השאלות שבברירת המחדל של OpenSSL ופשוט מקישים אנטר, שם הארגון הופך לתחליף מציין מקום. תחליפים אלה אמורים להיות מוחלפים לפני העלייה לאוויר. הם לא הוחלפו:
| השם «הונפק על ידי» בתעודה הפעילה | אתרים |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
«Internet Widgits Pty Ltd» הוא ברירת המחדל המילולית בתצורת הדוגמה של OpenSSL — ו-244,468 אתרים ציבוריים מגישים תעודה החתומה בה. על פני כל שמות התחליף וברירת המחדל המובהקים, 685,732 אתרים מעולם לא החליפו את השלט. כל אחד מהם גם חתום עצמית, ולכן המבקרים מקבלים אזהרת דפדפן — הם מגישים את תחליף מציין המקום וגם את השגיאה.
2. DMARC, אבוד בתרגום
מדיניות DMARC עובדת רק אם היא נקראת בדיוק p=none, p=quarantine, או p=reject. 48,648 דומיינים פרסמו משהו אחר — מילת המדיניות באיות שגוי, או כתובה בשפה אחרת לגמרי (הנתונים בפועל כוללים תרגומים בספרדית, צרפתית ופורטוגזית של «none»). הכוונה הייתה נכונה; האיות המדויק לא — ו-DMARC מקבל רק את מילת המפתח האנגלית, ולכן כולם מספקים אפס הגנה. (רשימה מלאה ועדכנית עם מספרים: שגיאות ההקלדה הנפוצות ביותר ב-DMARC באינטרנט.)
3. שטיח הקבלת הפנים של SPF
כל תפקידו של SPF הוא לומר אילו שרתים רשאים לשלוח דואר בשמך. 36,014 דומיינים מסיימים את הרשומה שלהם ב-+all — שמשמעותו ההפך הגמור: «כל שרת באינטרנט מורשה לשלוח בשמי.» זו המקבילה האבטחתית להדבקת המפתח לדלת. עוד 7,958 שוברים בשקט את ה-SPF שלהם בכך שהם חורגים ממגבלת 10 חיפושי ה-DNS, ומבטלים אותו לחלוטין. (עוד: דוח התצורה השגויה של SPF.)
4. ציון לשבח: המיליונים החתומים עצמית
מעבר לשמות המשעשעים, 3,378,080 אתרים מגישים תעודה חתומה עצמית — כזו שהנפיקו לעצמם, שהדפדפנים דוחים. בדרך כלל נתב, מכונת בדיקה, או כלי פנימי שבטעות הופנה לאינטרנט הציבורי ומעולם לא קיבל תעודה אמיתית.
מה משותף למשעשעים
לכל ערך כאן יש אותו שורש כמו לכשלים המשעממים: ברירת מחדל שנשארה ללא נגיעה, שלב שדולג, העתק-הדבק שלא הושלם. הרשת לא נכשלת בדרמטיות — היא נכשלת מתוך אינרציה, תחליף מציין מקום אחד שלא שונה שמו בכל פעם. הצד החיובי: כל אחד מאלה הוא תיקון של חמש דקות.
שאלות נפוצות
מדוע כל כך הרבה תעודות אומרות «Internet Widgits Pty Ltd»? זהו שם הארגון בברירת המחדל בתצורת הדוגמה של OpenSSL. כשמישהו מייצר תעודה ומקבל את ברירות המחדל, תחליף מציין המקום הזה מסתיים על התעודה הפעילה. 244,468 אתרים ציבוריים מעולם לא שינו אותו.
האם מדיניות DMARC בשפה אחרת עושה משהו?
לא. DMARC מזהה רק את מילות המפתח המדויקות none, quarantine, ו-reject. רשומה עם מילת המדיניות באיות שגוי או כתובה בשפה אחרת אינה תקפה ומתעלמים ממנה — הדומיין נשאר ניתן לזיוף.
מה עושה SPF +all? הוא מאשר לכל שרת באינטרנט לשלוח דואר אלקטרוני בשם הדומיין שלך — גרוע יותר מאשר לא להיות עם SPF כלל. 36,014 דומיינים מחזיקים בו, כמעט תמיד בטעות.
האם אלה מקרי קצה נדירים? לא — כל אחד הוא מאות אלפים עד מיליוני דומיינים, שנמצאו באופן עקבי על פני מפקד של 261 מיליון דומיינים. אלה ברירות מחדל נפוצות, לא תאונות מוזרות.
בדקו שהדומיין שלכם לא ייכלל במהדורה הבאה
רוב אלה הם תיקונים של שורה אחת. בדקו את הדומיין שלכם בפרטיות ובחינם — ראו את התעודה, ה-DMARC וה-SPF שלכם בדיוק כפי שהאינטרנט רואה אותם.
בדקו את הדומיין שלכם → · שגיאות הקלדה ב-DMARC → · דוח התצורה השגויה של SPF → · דוח שגיאות התעודה → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.