Defaults.Exposed › Izvještaji
DNSSEC paradoks: više domena ga pokvari nego što ga ispravno postavi (2026.)
Objavljeno 2026-06-29
Brojke zaključno s 2026-06-29 · metodologija v7. Skupni podaci popisa kroz 261 milijuna ocijenjenih domena. Pogledajte kako ocjenjujemo.
DNSSEC bi trebao otežati otmicu vaše domene — no toliko je hirovit da više domena ima pokvaren nego ispravan. Od 261 milijuna domena, 3.02% ima potpisan, ali pokvaren DNSSEC, naspram samo 1.99% kojima je valjan. Preostalih 94.99% ga uopće ne pokušava. DNS je sloj koji razgovor o sigurnosti zaboravlja — i brojke to pokazuju.
Što podaci kažu
| Stanje DNSSEC | Udio domena |
|---|---|
| Valjan (potpisan, radi) | 1.99% |
| Pokvaren (potpisan, pogrešno postavljen) | 3.02% |
| Uopće nije potpisan | 94.99% |
U retku pokvaren nalazi se više domena nego u retku valjan. To je paradoks: među malom manjinom koja uključi DNSSEC, većina ga pogrešno postavi.
Zašto je pokvaren DNSSEC gori od nepostojanja DNSSEC-a?
Nepotpisan DNSSEC jednostavno je nezaštićen. Pokvaren DNSSEC aktivno je opasan: razrješivač koji provjerava odbit će razriješiti domenu čiji se potpisi ne podudaraju, pa pogrešna konfiguracija može vašu domenu za dio interneta potpuno odvesti izvan mreže — bez web-mjesta, bez e-pošte — dok se ne popravi. Upravo ona značajka koja vas je trebala štititi postaje samonametnuti prekid. Taj rizik, uz doista zeznutu izmjenu ključeva i predaju registru, razlog je zašto usvajanje ostaje blizu dna.
Šira praznina u sigurnosti DNS-a
DNSSEC nije jedina zanemarena DNS kontrola. CAA zapisi — koji ograničavaju tko može izdavati TLS certifikate za vašu domenu i tiho blokiraju jednu klasu napada pogrešnog izdavanja — prisutni su na samo 1.56% domena. DNS je temelj: ako se otme, svaka druga nizvodna kontrola može se zaobići. Pa ipak, to je sloj koji najmanje vlasnika ikad dotakne.
Trebam li uključiti DNSSEC?
Za većinu malih tvrtki redoslijed prioriteta je prvo autentikacija e-pošte i HTTPS — oni zaustavljaju napade s kojima se zaista svakodnevno suočavate. DNSSEC je važan, ali samo ispravno izveden: pokvaren potpis gori je od nikakvog. Ako ga omogućite, koristite pružatelja koji za vas upravlja potpisivanjem i izmjenom ključeva, a zatim provjerite da se potvrđuje od kraja do kraja. Pogledajte popravi DNSSEC i popravi CAA.
Često postavljana pitanja
Je li pokvaren DNSSEC zaista gori od nepostojanja DNSSEC-a? Da. Nepostojanje DNSSEC-a samo znači da nema dodatne zaštite. Pokvaren DNSSEC može učiniti da se vaša domena ne razriješi za mreže koje provjeravaju — odvodeći vaše web-mjesto i e-poštu izvan mreže dok se ne popravi.
Koji udio domena ispravno koristi DNSSEC? Samo 1.99% zaključno s 2026-06-29 — manje od 3.02% kojima je potpisan, ali pokvaren.
Što je CAA zapis i trebam li ga? CAA ograničava koja certifikacijska tijela mogu izdavati certifikate za vašu domenu, blokirajući jednu klasu pogrešnog izdavanja. Samo 1.56% domena ga postavlja. To je jeftin dodatak niskog rizika.
Treba li mala tvrtka dati prednost DNSSEC-u? Obično nakon autentikacije e-pošte i HTTPS-a. Prvo učinite njih; DNSSEC dodajte samo ako njime možete ispravno upravljati.
Provjerite sigurnost DNS-a svoje domene besplatno
Pogledajte svoj status DNSSEC i CAA — i kontrole koje su važnije — privatno i samo za vlasnika.
Provjerite svoju domenu → · Popravi DNSSEC → · Popravi CAA → · Kako ocjenjujemo → · Samo skupni podaci. Podaci pohranjeni i obrađeni u EU-u.