Defaults.Exposed › Jelentések
A DNSSEC-paradoxon: több domain rontja el, mint ahány jól csinálja (2026)
Közzétéve 2026-06-29
Az adatok 2026-06-29 szerint · módszertan v7. Összesített népszámlálási adatok 261 millió osztályozott domainen át. Lásd hogyan osztályozunk.
A DNSSEC-nek nehezebbé kellene tennie a domainje eltérítését — de annyira kényes, hogy több domainnél elromlott, mint ahányban működik. 261 millió domain közül a 3.02% aláírt, de elromlott DNSSEC-cel rendelkezik, szemben a mindössze 1.99%-kal, ahol érvényes. A fennmaradó 94.99% meg sem próbálkozik vele. A DNS az a réteg, amelyről a biztonsági beszélgetés elfeledkezik — és a számok ezt mutatják.
Mit mondanak az adatok
| DNSSEC-állapot | Domainek aránya |
|---|---|
| Érvényes (aláírt, működik) | 1.99% |
| Elromlott (aláírt, rosszul konfigurált) | 3.02% |
| Egyáltalán nem aláírt | 94.99% |
Több domain van az elromlott sorban, mint az érvényes sorban. Ez a paradoxon: a DNSSEC-et bekapcsoló kis kisebbség körében a többség rosszul állítja be.
Miért rosszabb az elromlott DNSSEC, mint a DNSSEC hiánya?
Az aláíratlan DNSSEC egyszerűen védtelen. Az elromlott DNSSEC viszont aktívan veszélyes: egy ellenőrző feloldó megtagadja az olyan domain feloldását, amelynek aláírásai nem stimmelnek, így egy hibás konfiguráció az internet egy része számára teljesen offline állapotba teheti a domainjét — se weboldal, se e-mail — amíg ki nem javítják. Éppen az a funkció, amelynek meg kellene védenie, önokozta kieséssé válik. Ez a kockázat, valamint a valóban kényes kulcscsere és a regisztrátorok közötti átadás az oka annak, hogy az elterjedtség közel marad a mélyponthoz.
A tágabb DNS-biztonsági rés
A DNSSEC nem az egyetlen elhanyagolt DNS-vezérlő. A CAA-rekordok — amelyek korlátozzák, ki bocsáthat ki TLS-tanúsítványokat a domainjéhez, és csendben blokkolják a téves kibocsátási támadások egy osztályát — a domainek mindössze 1.56%-án vannak jelen. A DNS alapvető: ha eltérítik, minden más utólagos vezérlő megkerülhető. Mégis ez az a réteg, amelyhez a legkevesebb tulajdonos nyúl egyáltalán.
Bekapcsoljam a DNSSEC-et?
A legtöbb kisvállalkozás számára a fontossági sorrend először az e-mail-hitelesítés és a HTTPS — ezek állítják meg azokat a támadásokat, amelyekkel ténylegesen naponta szembesül. A DNSSEC számít, de csak helyesen elvégezve: egy elromlott aláírás rosszabb a semminél. Ha bekapcsolja, használjon olyan szolgáltatót, amely Ön helyett kezeli az aláírást és a kulcscserét, majd utána ellenőrizze, hogy végponttól végpontig érvényesül. Lásd DNSSEC javítása és CAA javítása.
Gyakran ismételt kérdések
Tényleg rosszabb az elromlott DNSSEC, mint a DNSSEC hiánya? Igen. A DNSSEC hiánya csupán annyit jelent, hogy nincs extra védelem. Az elromlott DNSSEC azt okozhatja, hogy a domainje nem oldódik fel az ellenőrző hálózatokon — offline állapotba téve a webhelyét és e-mailjét, amíg ki nem javítják.
A domainek mekkora hányada használja helyesen a DNSSEC-et? 2026-06-29 szerint csak 1.99% — kevesebb, mint az a 3.02%, amelynél aláírt, de elromlott.
Mi az a CAA-rekord, és szükségem van rá? A CAA korlátozza, mely hitelesítésszolgáltatók bocsáthatnak ki tanúsítványokat a domainjéhez, blokkolva a téves kibocsátás egy osztályát. A domaineknek csak 1.56%-a állít be ilyet. Olcsó, alacsony kockázatú kiegészítés.
Egy kisvállalkozásnak prioritásként kell kezelnie a DNSSEC-et? Általában az e-mail-hitelesítés és a HTTPS után. Ezeket végezze el először; a DNSSEC-et csak akkor adja hozzá, ha helyesen tudja kezelni.
Ellenőrizze ingyen a domainje DNS-biztonságát
Tekintse meg a DNSSEC- és CAA-állapotát — és a fontosabb vezérlőket — bizalmasan, csak a tulajdonos számára.
Ellenőrizze a domainjét → · DNSSEC javítása → · CAA javítása → · Hogyan osztályozunk → · Csak összesített adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.