Defaults.Exposed › דוחות
מהו DNSSEC — והאם אתם באמת זקוקים לו? (2026)
פורסם 2026-07-01
נתונים נכון ל-2026-06-29 · מתודולוגיה גרסה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים. DNSSEC מוסיף חתימות קריפטוגרפיות ל-DNS כך שמפענח (resolver) יכול להוכיח שתשובה אכן הגיעה מכם ולא זויפה. ראו כיצד אנו מדרגים.
DNSSEC מטביע על כל תשובת DNS עבור הדומיין שלכם חתימה, כך שתוקף לא יכול להחליף אותה בשקט בזיוף ולשלוח את המבקרים שלכם למקום אחר. זהו אחד מאמצעי הבקרה הכי פחות מאומצים ברשת: רק 1.99% מתוך 261 מיליון הדומיינים כוללים שרשרת חתומה תקפה. זהו גם אחד המעטים שבהם תצורה שגויה גרועה יותר מהיעדר כל תצורה — 3.02% מהדומיינים חתומים אך שבורים, מה שעלול להפוך אותם לבלתי נגישים. הנה מה שהוא עושה, והאם אתם זקוקים לו.
על מה DNSSEC באמת מגן
ל-DNS רגיל אין כל דרך להוכיח שתשובה אמיתית. זה פותח את הדלת להרעלת מטמון (cache poisoning) ולזיוף DNS בנתיב (on-path) — תוקף מזין למפענח רשומה מזויפת ומפנה את המבקרים שלכם, או את הדואר שלכם, אל השרת שלו, ללא אזהרת אישור (certificate) שתסגיר זאת. DNSSEC סוגר את הפרצה הזו על ידי חתימה על הרשומות, כך שמפענח מאמת (validating resolver) דוחה כל דבר שאינו מאומת.
מה שהוא אינו עושה: הוא אינו מצפין את ה-DNS, אינו מאבטח את האתר עצמו, ואינו מחליף את HTTPS, DMARC או CAA. זוהי שכבה אחת — שלמות (integrity) עבור תשובות DNS.
תמונת האימוץ
- 1.99% חתומים ותקפים.
- 3.02% חתומים אך שבורים — חתימה שנכשלת באימות, מה שעלול להפיל את הדומיין עבור כל מי שמשתמש במפענח מאמת. זהו הסיכון שגורם לאנשים להיזהר.
- היכן שרשם (registry) מקדם אותו באופן פעיל, שיעור האימוץ גבוה בהרבה: סיומות מדינה מונעות-רשם מגיעות ל-9.1% תקפים, לעומת 1.3% בסיומות מדינה אחרות. האימוץ הוא מנוף מדיניות, לא מגבלה טכנית. ראו האם DNSSEC חובה עובד ופרדוקס ה-DNSSEC.
לפי סיומת דומיין, DNSSEC תקף נע בטווח רחב: 18.38% ב-.se, 11.86% ב-.nl, 14.62% ב-.cz — לעומת 1.62% בלבד ב-.com.
האם אתם זקוקים לו?
- דומיינים בעלי ערך גבוה או ממוקדים — בנקים, ממשלה, תשתיות, כל דבר שבו הפניית משתמשים או דואר מהווה פרס משמעותי — נהנים ממנו יותר מכול.
- ארגונים מונעי-ציות (compliance) — DNSSEC מופיע יותר ויותר בשאלוני אבטחה ובחלק מכללי המגזר.
- כל השאר — זהו צעד הקשחה סביר אם שירות ה-DNS שלכם הופך אותו לפעולה בלחיצה אחת ומנהל עבורכם את החלפות המפתחות (key rollovers). אם הפעלתו משמעה ניהול ידני של מפתחות שאתם עלולים לטעות בהם, סיכון החתימה השבורה הוא ממשי — עשו זאת היכן שהתהליך אוטומטי.
כיצד להפעיל אותו בבטחה
- השתמשו בשירות DNS שמאטמט את DNSSEC — חתימה והחלפות מפתחות מטופלות עבורכם (רוב הספקים הגדולים עושים זאת כיום בלחיצה אחת). ראו תיקון DNSSEC.
- הפעילו חתימה, ולאחר מכן פרסמו את רשומת ה-DS אצל הרשם (registrar) כדי להשלים את שרשרת האמון.
- אמתו ששרשרת האמון מתפענחת לפני שאתם עוזבים — דומיין חתום-אך-שבור גרוע יותר מדומיין לא חתום.
- לעולם אל תנהלו מפתחות באופן ידני אלא אם יש לכם הכלים לרוטציה אמינה שלהם.
שאלות נפוצות
מהו DNSSEC במילים פשוטות? זוהי מערכת של חתימות דיגיטליות על רשומות ה-DNS שלכם, כך שמפענחים יכולים להוכיח שהתשובה אמיתית ולא זויפה בזמן המעבר.
האם אני באמת זקוק ל-DNSSEC? הוא בעל הערך הרב ביותר עבור דומיינים בעלי מטרה גבוהה והיכן שהציות דורש זאת. עבור כל השאר זהו צעד הקשחה טוב אם שירות ה-DNS שלכם מאטמט אותו — הסיכון העיקרי הוא תצורה שגויה, שקיימת כיום ב-3.02% מהדומיינים.
האם DNSSEC מצפין את ה-DNS שלי? לא. הוא מוכיח שלמות (התשובה אותנטית) אך אינו מסתיר את השאילתה. זוהי טכנולוגיה אחרת (DoH/DoT).
האם DNSSEC יכול לשבור את האתר שלי? חתימה שבורה או פגת-תוקף יכולה להפוך את הדומיין שלכם לבלתי ניתן לפענוח עבור כל מי שמשתמש במפענח מאמת. זו הסיבה שחתימה אוטומטית והחלפת מפתחות חשובות.
האם DNSSEC חינמי? כן ברוב שירותי ה-DNS המודרניים — זוהי הגדרה, לא רכישה.
בדקו את ה-DNSSEC של הדומיין שלכם בחינם
ראו האם הדומיין שלכם חתום, תקף ומשורשר כראוי — באופן פרטי, ולבעלים בלבד.
בדקו את הדומיין שלכם ← · תקנו את DNSSEC ← · האם DNSSEC חובה עובד? ← · כיצד אנו מדרגים ← · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.