Defaults.Exposed

Defaults.Exposed › Jelentések

Mi az a DNSSEC – és valóban szükséged van rá? (2026)

Közzétéve 2026-07-01

Az adatok a következő időpont szerint: 2026-06-29 · módszertan v7. Összesített népszámlálási adatok 261 millió osztályozott domainen. A DNSSEC kriptográfiai aláírásokat ad a DNS-hez, így egy feloldó bizonyítani tudja, hogy egy válasz valóban tőled származik, és nem manipulálták. Lásd: hogyan osztályozunk.

A DNSSEC minden, a domainedre vonatkozó DNS-választ aláírással lát el, így egy támadó nem tud csendben hamis választ becsempészni, és a látogatóidat máshová irányítani. Ez a web egyik legkevésbé elterjedt védelmi eszköze: a 261 millió domainnek mindössze 1.99%-a rendelkezik érvényes, aláírt lánccal. Egyben azon kevesek egyike is, ahol a rossz konfiguráció rosszabb, mint a semmilyen – a domainek 3.02%-a alá van írva, de hibás, ami elérhetetlenné teheti őket. Íme, mit csinál, és hogy szükséged van-e rá.

Mi ellen véd valójában a DNSSEC

A sima DNS-nek nincs módja bizonyítani, hogy egy válasz valódi. Ez nyitva hagyja az ajtót a gyorsítótár-mérgezés és az útközbeni DNS-hamisítás előtt – egy támadó hamisított rekordot ad egy feloldónak, és a látogatóidat vagy az e-mailjeidet a saját szerverére irányítja, minden tanúsítványfigyelmeztetés nélkül, ami elárulná. A DNSSEC bezárja ezt a rést azzal, hogy aláírja a rekordokat, így egy ellenőrző feloldó elutasít mindent, ami nem verifikálható.

Amit nem tesz: nem titkosítja a DNS-t, nem védi meg magát a weboldalt, és nem helyettesíti a HTTPS, a DMARC vagy a CAA megoldásokat. Ez egy réteg – integritás a DNS-válaszok számára.

Az elterjedtség képe

Domainvégződés szerint az érvényes DNSSEC széles skálán mozog: 18.38% a .se-n, 11.86% a .nl-en, 14.62% a .cz-n – szemben a mindössze 1.62%-kal a .com-on.

Szükséged van rá?

Hogyan kapcsold be biztonságosan

  1. Használj olyan DNS-szolgáltatót, amely automatizálja a DNSSEC-et – az aláírást és a kulcscseréket helyetted intézik (a legtöbb nagy szolgáltató ezt már egy kattintással megteszi). Lásd: DNSSEC javítása.
  2. Engedélyezd az aláírást, majd tedd közzé a DS-rekordot a regisztrátorodnál, hogy teljessé váljon a bizalmi lánc.
  3. Ellenőrizd, hogy a lánc feloldódik-e, mielőtt továbblépsz – egy aláírt, de hibás domain rosszabb, mint egy aláíratlan.
  4. Soha ne kezelj kézzel kulcsokat, hacsak nincs meg az eszközkészleted a megbízható rotálásukhoz.

Gyakran ismételt kérdések

Mi az a DNSSEC egyszerűen megfogalmazva? Ez egy sor digitális aláírás a DNS-rekordjaidon, hogy a feloldók bizonyítani tudják: a válasz valódi, és nem hamisították meg menet közben.

Valóban szükségem van a DNSSEC-re? A legértékesebb a magas kockázatú domainek számára, és ott, ahol a megfelelőség megköveteli. Mindenki más számára jó megerősítő lépés, ha a DNS-szolgáltatód automatizálja – a fő kockázat egy hibás konfiguráció, amellyel jelenleg a domainek 3.02%-a rendelkezik.

Titkosítja a DNSSEC a DNS-emet? Nem. Az integritást bizonyítja (a válasz hiteles), de nem rejti el a lekérdezést. Az egy másik technológia (DoH/DoT).

Elronthatja a DNSSEC a weboldalamat? Egy hibás vagy lejárt aláírás feloldhatatlanná teheti a domainedet bárki számára, aki ellenőrző feloldót használ. Ezért fontos az automatizált aláírás és kulcscsere.

Ingyenes a DNSSEC? A legtöbb modern DNS-szolgáltatónál igen – ez egy beállítás, nem vásárlás.

Ellenőrizd ingyen a domained DNSSEC-jét

Nézd meg, hogy a domained alá van-e írva, érvényes-e, és helyesen láncolt-e – privát módon, csak a tulajdonos számára.

Ellenőrizd a domainedet → · DNSSEC javítása → · Működik-e a kötelező DNSSEC? → · Hogyan osztályozunk → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.