Defaults.Exposed

Defaults.Exposed › דוחות

פרדוקס ה-DNSSEC: יותר דומיינים שוברים אותו מאשר מיישמים אותו כראוי (2026)

פורסם 2026-06-29

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים שדורגו. ראו כיצד אנו מדרגים.

DNSSEC אמור להקשות על חטיפת הדומיין שלכם — אך הוא כה רגיש שיותר דומיינים מוגדרים בו שבור מאשר תקין. מתוך 261 מיליון דומיינים, ל-3.02% יש DNSSEC חתום אך שבור, לעומת 1.99% בלבד שבהם הוא תקף. ה-94.99% הנותרים אינם מנסים כלל. DNS הוא השכבה שהשיח על אבטחה שוכח — והמספרים מראים זאת.

מה הנתונים אומרים

מצב DNSSECחלק מהדומיינים
תקף (חתום, פועל)1.99%
שבור (חתום, מוגדר שגוי)3.02%
לא חתום כלל94.99%

יותר דומיינים נמצאים בשורת השבור מאשר בשורת התקף. זה הפרדוקס: בקרב המיעוט הקטן שמפעיל DNSSEC, הרוב מגדירים אותו שגוי.

מדוע DNSSEC שבור גרוע יותר מהיעדר DNSSEC?

DNSSEC לא חתום הוא פשוט בלתי מוגן. DNSSEC שבור מסוכן באופן פעיל: פותר (resolver) המאמת יסרב לפתור דומיין שחתימותיו אינן מתאמתות, כך שתצורה שגויה יכולה להוציא את הדומיין שלכם לחלוטין למצב לא מקוון עבור חלק מהאינטרנט — ללא אתר, ללא דוא”ל — עד שיתוקן. דווקא התכונה שנועדה להגן עליכם הופכת להשבתה שגרמתם לעצמכם. סיכון זה, יחד עם החלפת מפתחות והעברה לרשם שהם באמת מורכבים, הוא הסיבה שהאימוץ נשאר קרוב לתחתית.

פער אבטחת ה-DNS הרחב יותר

DNSSEC אינו אמצעי הבקרה היחיד של DNS שמוזנח. רשומות CAA — המגבילות מי רשאי להנפיק אישורי TLS עבור הדומיין שלכם וחוסמות בשקט סוג של התקפות הנפקה שגויה — קיימות רק ב-1.56% מהדומיינים. DNS הוא יסודי: אם הוא נחטף, ניתן לעקוף כל אמצעי בקרה אחר במורד הזרם. ובכל זאת זו השכבה שהכי מעט בעלים נוגעים בה אי פעם.

האם כדאי להפעיל DNSSEC?

עבור רוב העסקים הקטנים, סדר העדיפויות הוא קודם אימות דוא”ל ו-HTTPS — אלה עוצרים את ההתקפות שאתם באמת מתמודדים איתן יום-יום. DNSSEC חשוב, אך רק כשנעשה נכון: חתימה שבורה גרועה מהיעדר חתימה. אם אתם מפעילים אותו, השתמשו בספק שמנהל עבורכם את החתימה והחלפת המפתחות, ולאחר מכן ודאו שהוא מאומת מקצה לקצה. ראו תיקון DNSSEC ותיקון CAA.

שאלות נפוצות

האם DNSSEC שבור באמת גרוע יותר מהיעדר DNSSEC? כן. היעדר DNSSEC פירושו רק שאין הגנה נוספת. DNSSEC שבור יכול לגרום לכך שהדומיין שלכם לא ייפתר ברשתות מאמתות — ויוציא את האתר והדוא”ל שלכם למצב לא מקוון עד לתיקון.

איזה חלק מהדומיינים משתמשים ב-DNSSEC נכון? רק 1.99% נכון ל-2026-06-29 — פחות מ-3.02% שבהם הוא חתום אך שבור.

מהי רשומת CAA והאם אני זקוק לה? CAA מגבילה אילו רשויות אישורים רשאיות להנפיק אישורים עבור הדומיין שלכם, וחוסמת סוג של הנפקה שגויה. רק 1.56% מהדומיינים מגדירים אחת. זו תוספת זולה ובסיכון נמוך.

האם עסק קטן צריך לתת עדיפות ל-DNSSEC? בדרך כלל לאחר אימות דוא”ל ו-HTTPS. עשו אותם קודם; הוסיפו DNSSEC רק אם אתם יכולים לנהל אותו נכון.

בדקו בחינם את אבטחת ה-DNS של הדומיין שלכם

ראו את מצב ה-DNSSEC וה-CAA שלכם — ואת אמצעי הבקרה החשובים יותר — באופן פרטי ולבעלים בלבד.

בדקו את הדומיין שלכם → · תיקון DNSSEC → · תיקון CAA → · כיצד אנו מדרגים → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.