Defaults.Exposed › रिपोर्ट
गलत कॉन्फ़िगरेशन का हॉल ऑफ फ़ेम: वेब के सबसे अजीब सुरक्षा रिकॉर्ड (2026)
प्रकाशित 2026-06-29
2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। 261 मिलियन ग्रेड किए गए डोमेन में समग्र जनगणना डेटा। नीचे दिया गया प्रत्येक आंकड़ा एक वास्तविक, आवर्ती पैटर्न है — एकबारगी नहीं। देखें हम कैसे ग्रेड करते हैं।
अधिकांश सुरक्षा विफलताएँ उबाऊ हैं: एक सेटिंग बंद छोड़ दी। कुछ वास्तव में मज़ेदार हैं — इमारत को “INSERT TENANT NAME” साइन अभी भी खिड़की में शिप करने के डिजिटल समतुल्य। हमने 261 मिलियन डोमेन ग्रेड किए; यहाँ वे रिकॉर्ड हैं जिन्होंने हमें दो बार देखने पर मजबूर किया।
1. वह प्रमाण पत्र जिसे किसी ने नाम नहीं दिया
जब आप डिफ़ॉल्ट OpenSSL प्रॉम्प्ट के साथ TLS प्रमाण पत्र उत्पन्न करते हैं और बस एंटर दबाते हैं, तो संगठन का नाम एक प्लेसहोल्डर बन जाता है। उन प्लेसहोल्डर को लाइव जाने से पहले बदला जाना चाहिए था। वे नहीं बदले गए:
| लाइव प्रमाण पत्र पर “Issued by” नाम | साइटें |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
“Internet Widgits Pty Ltd” OpenSSL के उदाहरण कॉन्फ़िग में शाब्दिक डिफ़ॉल्ट है — और 244,468 सार्वजनिक साइटें इसके साथ मुहर लगाए प्रमाण पत्र सेवा दे रही हैं। सभी स्पष्ट प्लेसहोल्डर और डिफ़ॉल्ट नामों में, 685,732 साइटों ने कभी साइन नहीं बदली। उनमें से प्रत्येक भी स्व-हस्ताक्षरित है, इसलिए आगंतुकों को ब्राउज़र चेतावनी मिलती है — वे प्लेसहोल्डर और त्रुटि दोनों शिप कर रहे हैं।
2. DMARC, अनुवाद में खोया
एक DMARC नीति केवल तभी काम करती है जब वह ठीक p=none, p=quarantine, या p=reject पढ़ती है। 48,648 डोमेन ने कुछ और प्रकाशित किया — नीति शब्द गलत वर्तनी, या किसी अन्य भाषा में पूरी तरह से लिखा (लाइव डेटा में “none” के स्पेनिश, फ्रेंच और पुर्तगाली प्रस्तुतिकरण शामिल हैं)। इरादा सही था; सटीक वर्तनी नहीं थी — और DMARC केवल अंग्रेजी कीवर्ड स्वीकार करता है, इसलिए उन सभी में से कोई भी सुरक्षा प्रदान नहीं करता। (वर्तमान सूची गिनती के साथ: इंटरनेट की सबसे सामान्य DMARC टाइपो।)
3. SPF स्वागत चटाई
SPF का पूरा काम यह कहना है कि कौन से सर्वर आपके रूप में मेल भेज सकते हैं। 36,014 डोमेन अपना रिकॉर्ड +all में समाप्त करते हैं — जिसका अर्थ है इसके विपरीत: “इंटरनेट पर कोई भी सर्वर मेरे रूप में भेजने के लिए अधिकृत है।” यह सुरक्षा के दरवाजे पर अपनी चाबी टेप करने के समतुल्य है। एक और 7,958 चुपचाप अपना SPF 10-DNS-लुकअप सीमा से अधिक करके तोड़ते हैं, इसे पूरी तरह से रद्द करते हुए। (अधिक: SPF गलत कॉन्फ़िगरेशन रिपोर्ट।)
4. सम्माननीय उल्लेख: स्व-हस्ताक्षरित लाखों
मज़ेदार नामों के परे, 3,378,080 साइटें स्व-हस्ताक्षरित प्रमाण पत्र सेवा देती हैं — एक जो उन्होंने खुद जारी किया, जिसे ब्राउज़र अस्वीकार करते हैं। आमतौर पर एक राउटर, परीक्षण बॉक्स, या आंतरिक उपकरण जो गलती से सार्वजनिक इंटरनेट पर इंगित हो गया और कभी वास्तविक प्रमाण पत्र नहीं मिला।
मज़ेदार वाले क्या समान रखते हैं
यहाँ हर प्रविष्टि उबाऊ विफलताओं के समान मूल कारण है: एक डिफ़ॉल्ट अनछुआ छोड़ दिया गया, एक चरण छोड़ दिया गया, एक कॉपी-पेस्ट पूरी नहीं हुई। वेब नाटकीय रूप से विफल नहीं होता — यह जड़ता से विफल होता है, एक समय में एक बिना-नाम-बदले प्लेसहोल्डर। अच्छी खबर: इनमें से हर एक पाँच मिनट का सुधार है।
अक्सर पूछे जाने वाले प्रश्न
इतने सारे प्रमाण पत्र “Internet Widgits Pty Ltd” क्यों कहते हैं? यह OpenSSL के उदाहरण कॉन्फ़िगरेशन में डिफ़ॉल्ट संगठन का नाम है। जब कोई प्रमाण पत्र उत्पन्न करता है और डिफ़ॉल्ट स्वीकार करता है, वह प्लेसहोल्डर लाइव सर्टिफिकेट पर समाप्त होता है। 244,468 सार्वजनिक साइटों ने इसे कभी नहीं बदला।
क्या किसी अन्य भाषा में DMARC नीति कुछ करती है?
नहीं। DMARC केवल सटीक कीवर्ड none, quarantine, और reject को पहचानता है। एक रिकॉर्ड जिसमें नीति शब्द गलत वर्तनी या किसी अन्य भाषा में लिखा हो, अमान्य है और अनदेखा है — डोमेन जाली बनाने योग्य रहता है।
SPF +all क्या करता है? यह इंटरनेट पर हर सर्वर को आपके डोमेन के रूप में ईमेल भेजने के लिए अधिकृत करता है — SPF बिल्कुल न होने से भी बुरा। 36,014 डोमेन में यह है, लगभग हमेशा गलती से।
क्या ये दुर्लभ एज केस हैं? नहीं — प्रत्येक में सैकड़ों हजारों से लाखों डोमेन हैं, जो 261-मिलियन-डोमेन जनगणना में लगातार पाए जाते हैं। ये सामान्य डिफ़ॉल्ट हैं, असामान्य दुर्घटनाएँ नहीं।
जाँचें कि आपका डोमेन अगले संस्करण में न हो
इनमें से अधिकांश एक-लाइन सुधार हैं। अपना डोमेन निजी और मुफ्त में जाँचें — अपना प्रमाण पत्र, DMARC और SPF ठीक वैसे देखें जैसे इंटरनेट देखता है।
अपना डोमेन जाँचें → · DMARC टाइपो → · SPF गलत कॉन्फ़िगरेशन रिपोर्ट → · प्रमाण पत्र त्रुटि रिपोर्ट → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।