Defaults.Exposed

Defaults.Exposed › Izvještaji

Što je DNSSEC — i trebate li ga zaista? (2026.)

Objavljeno 2026-07-01

Podaci na dan 2026-06-29 · metodologija v7. Objedinjeni podaci popisa za 261 milijuna ocijenjenih domena. DNSSEC dodaje kriptografske potpise DNS-u tako da razrješivač (resolver) može dokazati da odgovor doista dolazi od vas i da nije bio izmijenjen. Pogledajte kako ocjenjujemo.

DNSSEC svaki DNS odgovor za vašu domenu žigosuje potpisom, tako da napadač ne može potiho podvaliti lažni i preusmjeriti vaše posjetitelje nekamo drugamo. To je jedna od najmanje prihvaćenih zaštitnih mjera na webu: samo 1.99% od 261 milijuna domena ima valjani potpisani lanac. Također je jedna od rijetkih kod kojih je loša konfiguracija gora od nikakve — 3.02% domena je potpisano, ali neispravno, što ih može učiniti nedostupnima. Evo što DNSSEC radi i trebate li ga.

Od čega DNSSEC zapravo štiti

Obični DNS nema način da dokaže da je odgovor autentičan. To otvara vrata trovanju priručne memorije (cache poisoning) i DNS podvali na putu (on-path spoofing) — napadač razrješivaču podmetne krivotvoreni zapis i preusmjeri vaše posjetitelje, ili vašu e-poštu, na svoj poslužitelj, bez ikakvog upozorenja o certifikatu koje bi to odalo. DNSSEC zatvara tu prazninu potpisivanjem zapisa tako da razrješivač koji provjerava valjanost odbacuje sve što se ne može ovjeriti.

Ono što ne radi: ne šifrira DNS, ne osigurava samu web stranicu i ne zamjenjuje HTTPS, DMARC ni CAA. To je jedan sloj — cjelovitost DNS odgovora.

Slika prihvaćenosti

Prema nastavku domene, valjani DNSSEC znatno varira: 18.38% na .se, 11.86% na .nl, 14.62% na .cz — naspram tek 1.62% na .com.

Trebate li ga?

Kako ga sigurno uključiti

  1. Koristite DNS pružatelja koji automatizira DNSSEC — potpisivanje i izmjena ključeva obavljaju se umjesto vas (većina velikih pružatelja to sada radi u jednom kliku). Pogledajte popravi DNSSEC.
  2. Omogućite potpisivanje, zatim objavite DS zapis kod svog registrara kako biste dovršili lanac povjerenja.
  3. Provjerite da se lanac razrješava prije nego što odete — potpisana, ali neispravna domena gora je od nepotpisane.
  4. Nikada ne upravljajte ključevima ručno osim ako imate alate za njihovu pouzdanu rotaciju.

Često postavljana pitanja

Što je DNSSEC jednostavno rečeno? To je skup digitalnih potpisa na vašim DNS zapisima tako da razrješivači mogu dokazati da je odgovor autentičan i da nije krivotvoren u prijenosu.

Trebam li zaista DNSSEC? Najvredniji je za domene koje su česta meta napada i ondje gdje ga usklađenost zahtijeva. Za sve ostale dobar je korak očvršćivanja ako ga vaš DNS pružatelj automatizira — glavni je rizik pogrešna konfiguracija, koju trenutačno ima 3.02% domena.

Šifrira li DNSSEC moj DNS? Ne. Dokazuje cjelovitost (odgovor je autentičan), ali ne skriva upit. To je druga tehnologija (DoH/DoT).

Može li DNSSEC pokvariti moju web stranicu? Neispravan ili istekao potpis može učiniti vašu domenu nerazrješivom za svakoga tko koristi razrješivač koji provjerava valjanost. Zato su automatizirano potpisivanje i izmjena ključeva važni.

Je li DNSSEC besplatan? Da, na većini modernih DNS pružatelja — to je postavka, a ne kupnja.

Besplatno provjerite DNSSEC svoje domene

Provjerite je li vaša domena potpisana, valjana i ispravno povezana u lanac — privatno i samo za vlasnika.

Provjerite svoju domenu → · Popravi DNSSEC → · Funkcionira li obvezni DNSSEC? → · Kako ocjenjujemo → · Samo objedinjeni podaci. Podaci se pohranjuju i obrađuju u EU-u.