Defaults.Exposed › Jelentések
A hibás konfigurációk dicsőségcsarnoka: a web legfurcsább biztonsági rekordjai (2026)
Közzétéve 2026-06-29
Adatok 2026-06-29 állapot szerint · módszertan v7. Összesített népszámlálási adatok 261 millió osztályozott domén alapján. Az alábbi minden szám valós, ismétlődő minta — nem egyszeri eset. Lásd: hogyan osztályozunk.
A legtöbb biztonsági hiba unalmas: egy kikapcsolva hagyott beállítás. Néhány viszont igazán mulatságos — annak digitális megfelelője, hogy az épületet úgy adják át, hogy a „ÍRJA BE A BÉRLŐ NEVÉT” tábla még mindig ott van a kirakatban. 261 millió domént osztályoztunk; íme a rekordok, amelyekre kétszer is rá kellett néznünk.
1. A tanúsítvány, amelyet senki sem nevezett át
Amikor TLS-tanúsítványt generál az OpenSSL alapértelmezett kérdéseivel, és egyszerűen megnyomja az Entert, a szervezet neve helykitöltővé válik. Ezeket a helykitöltőket élesítés előtt le kellene cserélni. Nem cserélték le:
| A „Kibocsátó” név az éles tanúsítványon | Webhelyek |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
A „Internet Widgits Pty Ltd” a szó szerinti alapértelmezett érték az OpenSSL példakonfigurációjában — és 244,468 nyilvános webhely ezzel bélyegzett tanúsítványt szolgál ki. Az összes nyilvánvaló helykitöltő- és alapértelmezett néven át 685,732 webhely sosem cserélte le a táblát. Mindegyikük önaláírt is, így a látogatók böngészőfigyelmeztetést kapnak — a helykitöltőt és a hibát is kiszolgálják.
2. DMARC, ami elveszett a fordításban
Egy DMARC-házirend csak akkor működik, ha pontosan p=none, p=quarantine vagy p=reject áll benne. 48,648 domén valami mást tett közzé — a házirend szavát elgépelve, vagy teljesen más nyelven írva (az élő adatok tartalmazzák a „none” spanyol, francia és portugál változatait). A szándék jó volt; a pontos helyesírás nem — és a DMARC csak az angol kulcsszót fogadja el, így mindegyikük nulla védelmet nyújt. (Teljes, aktuális lista a darabszámokkal: az internet leggyakoribb DMARC-elgépelései.)
3. Az SPF üdvözlőszőnyege
Az SPF egyetlen feladata, hogy megadja, mely szerverek küldhetnek levelet az ön nevében. 36,014 domén +all-lal zárja a rekordját — ami pontosan az ellenkezőjét jelenti: „az interneten bármely szerver jogosult a nevemben küldeni.” Ez a biztonsági megfelelője annak, mintha a kulcsát az ajtóra ragasztaná. További 7,958 csendben tönkreteszi az SPF-jét azzal, hogy túllépi a 10 DNS-lekérdezéses korlátot, teljesen érvénytelenítve azt. (Több: az SPF-hibás konfigurációról szóló jelentés.)
4. Külön említés: az önaláírt milliók
A mulatságos neveken túl 3,378,080 webhely önaláírt tanúsítványt szolgál ki — olyat, amelyet saját maguknak állítottak ki, és amelyet a böngészők elutasítanak. Általában egy router, egy tesztgép vagy egy belső eszköz, amely véletlenül a nyilvános internetre irányult, és sosem kapott valódi tanúsítványt.
Mi a közös a mulatságos esetekben
Minden itteni tételnek ugyanaz a gyökeroka, mint az unalmas hibáknak: egy érintetlenül hagyott alapértelmezés, egy kihagyott lépés, egy be nem fejezett másolás-beillesztés. A web nem drámaian bukik el — tehetetlenségből bukik el, egy át nem nevezett helykitöltőnként. A jó hír: mindegyikük ötperces javítás.
Gyakran ismételt kérdések
Miért mond annyi tanúsítvány „Internet Widgits Pty Ltd“-t? Ez az alapértelmezett szervezetnév az OpenSSL példakonfigurációjában. Amikor valaki tanúsítványt generál, és elfogadja az alapértelmezéseket, az a helykitöltő az éles tanúsítványra kerül. 244,468 nyilvános webhely sosem változtatta meg.
Csinál bármit egy más nyelvű DMARC-házirend?
Nem. A DMARC csak a pontos none, quarantine és reject kulcsszavakat ismeri fel. Az a rekord, amelyben a házirend szava el van gépelve vagy más nyelven van írva, érvénytelen, és figyelmen kívül marad — a domén továbbra is hamisítható.
Mit csinál az SPF +all? Az interneten minden szervert feljogosít arra, hogy az ön doménjének nevében küldjön e-mailt — rosszabb, mintha egyáltalán nem lenne SPF. 36,014 doménnek van ilyen, szinte mindig tévedésből.
Ritka szélsőséges esetek ezek? Nem — mindegyik több százezertől több millió doménig terjed, következetesen megtalálva egy 261 millió doménes népszámlálásban. Ezek gyakori alapértelmezések, nem furcsa balesetek.
Ellenőrizze, hogy a doménje nem kerül-e be a következő kiadásba
Ezek többsége egysoros javítás. Ellenőrizze a doménjét bizalmasan és ingyen — lássa a tanúsítványát, DMARC-ját és SPF-jét pontosan úgy, ahogy az internet látja.
Ellenőrizze a doménjét → · DMARC-elgépelések → · SPF-hibás konfigurációról szóló jelentés → · A tanúsítványhibákról szóló jelentés → · Csak összesített adatok. Az adatokat az EU-ban tárolják és dolgozzák fel.