Defaults.Exposed › Laporan
Cara Kami Menilai Seluruh Internet: Metodologi Keamanan Domain A–F (2026)
Diterbitkan 2026-06-28
Halaman referensi · metodologi v7 · data per 2026-06-28. Halaman ini menjelaskan cara setiap angka di situs ini dihasilkan. Semua statistik yang dipublikasikan bersifat agregat; nilai suatu domain individual hanya ditampilkan kepada pemilik yang telah terverifikasi.
Defaults.Exposed menilai domain dari A+ hingga F berdasarkan 34 pemeriksaan keamanan yang dapat diamati secara eksternal, dinilai sepenuhnya dari internet publik — tanpa pernah menyentuh sistem siapa pun. Halaman ini adalah penjelasan lengkap dan lugas tentang cara kerja sistem tersebut: apa yang kami ukur, cara nilai dihitung, apa yang dapat dan tidak dapat disampaikan oleh data, serta aturan etika yang kami pegang. Kami sengaja bersikap transparan, karena nilai keamanan hanya dapat dipercaya jika metodologi di baliknya juga dapat dipercaya.
Apa yang kami ukur
Setiap domain dievaluasi berdasarkan 34 pemeriksaan yang dikelompokkan ke dalam lima kategori. Setiap pemeriksaan merupakan sesuatu yang dapat diamati dari luar oleh siapa pun — tidak ada pemindaian sistem privat, tidak ada login, tidak ada intrusi.
- Autentikasi email — apakah domain ini dapat dipalsukan dalam email? Mencakup SPF, DKIM, DMARC (dan apakah DMARC benar-benar berada pada mode penegakan), serta konfigurasi mail (MX).
- TLS & sertifikat — apakah situs dienkripsi dengan benar? Mencakup validitas sertifikat dan kecocokan nama host, versi TLS modern, serta HSTS.
- Header keamanan web — apakah situs melindungi browser? Mencakup Content-Security-Policy, perlindungan anti-clickjacking (X-Frame-Options), perlindungan MIME-sniffing, Referrer-Policy, dan header lintas asal.
- DNS — apakah lapisan penamaan sudah diperkuat? Mencakup DNSSEC, CAA, dan konfigurasi nameserver.
- Infrastruktur — sinyal pendukung seperti reverse DNS dan dukungan IPv6.
Dari 34 pemeriksaan tersebut, sebagian bersifat dinilai (memengaruhi nilai akhir) dan sisanya bersifat informatif (dilaporkan sebagai konteks tetapi tidak dikenakan penalti).
Cara pemeriksaan dinilai: lulus, gagal, atau N/A
Setiap pemeriksaan menghasilkan salah satu dari tiga hasil:
- Lulus — perlindungan tersedia dan berfungsi dengan benar.
- Gagal — perlindungan tidak ada atau rusak. Kegagalan nyata adalah kegagalan nyata: domain tanpa SPF dan DMARC yang ditegakkan mendapat nilai buruk karena secara nyata dapat dipalsukan, bukan karena cara kami menghitung.
- N/A — pemeriksaan benar-benar tidak dapat ditentukan untuk domain ini. Hasil N/A dikecualikan dari nilai; tidak pernah merugikan domain.
Poin terakhir ini penting: kami tidak menghukum domain atas sesuatu yang tidak dapat kami nilai secara adil.
Cara penghitungan nilai huruf
Nilai berkisar dari A+, A, B, C, D, F. Nilai mencerminkan seberapa tuntas suatu domain menutup celah yang penting — dengan bobot lebih besar pada pemeriksaan yang berdampak paling besar di dunia nyata (pemalsuan email dan keamanan transportasi berbobot lebih tinggi daripada header kosmetik). Domain yang memenuhi aspek fundamental berdampak tinggi dan hanya menyisakan celah kecil akan mendapat nilai tinggi; domain yang gagal pada dasar-dasar yang memungkinkannya dipersonifikasikan mendapat nilai F.
Karena metode yang sama diterapkan secara identik pada setiap domain, nilai-nilainya dapat dibandingkan di seluruh populasi — itulah yang membuat tabel peringkat (berdasarkan TLD, negara, dan industri) bermakna.
Seberapa besar dataset ini?
Kami melacak inventaris 333 juta domain dan menilai populasi aktif sekitar 260 juta yang saat ini dapat di-resolve. Statistik yang dipublikasikan dihitung dari populasi ini pada saat build dan mencantumkan tanggal data agar Anda selalu mengetahui seberapa terkini suatu angka.
Seberapa terkini datanya?
Armada pemindaian beroperasi terus-menerus. Seluruh populasi diperbarui secara berkala, dengan beberapa TLD diukur ulang lebih sering, sehingga angka di situs ini merupakan pengukuran yang hidup, bukan cuplikan satu kali. Setiap laporan menampilkan tanggal data, dan studi utama diterbitkan sebagai edisi berulang agar tren dapat dipantau dari waktu ke waktu.
Apa yang dapat — dan tidak dapat — disampaikan data ini
Kami percaya bahwa batasan sama pentingnya dengan temuan:
- Geografi dan industri diturunkan dari akhiran domain, bukan dari registrasi perusahaan. Angka suatu negara didasarkan pada akhiran domain nasionalnya (ccTLD); angka suatu industri didasarkan pada akhiran yang spesifik untuk industri tersebut. Perusahaan yang menggunakan akhiran umum seperti
.comtidak dapat diatribusikan ke suatu negara atau sektor pada skala ini. Segmen-segmen ini “cukup akurat” untuk membandingkan populasi, dengan catatan ini dinyatakan secara eksplisit. - Kami mengukur domain, bukan organisasi. Satu perusahaan mungkin memiliki banyak domain; kami menilai setiap domain berdasarkan konfigurasinya sendiri.
- Pandangan eksternal saja. Kami menilai apa yang dapat diamati dari internet publik. Kami tidak melihat, atau berusaha melihat, apa pun di balik login.
Aturan kami: hanya agregat, privat bagi pemilik, berdomisili di EU
Tiga komitmen mengatur semua yang kami publikasikan:
- Hanya agregat. Kami mempublikasikan pola populasi — tabel peringkat per TLD, per negara, per industri. Kami tidak pernah mempublikasikan halaman berindeks yang menyebut nama bisnis individual beserta nilainya.
- Privat bagi pemilik. Nilai suatu domain individual beserta rincian per pemeriksaan hanya ditampilkan kepada pemilik yang telah terverifikasi yang memeriksanya.
- Residensi data EU. Semua data disimpan dan diproses di dalam EU — postur kepatuhan sekaligus komitmen kepercayaan yang disengaja.
Pertanyaan yang sering diajukan
Bagaimana Defaults.Exposed menghitung skor keamanan domain? Dengan menjalankan 34 pemeriksaan yang dapat diamati secara eksternal (autentikasi email, TLS, header web, DNS, dan infrastruktur), menilai setiap pemeriksaan sebagai lulus / gagal / N/A, dan membobotkannya berdasarkan dampak nyata untuk menghasilkan nilai dari A+ hingga F.
Apakah Anda memindai atau meretas domain yang Anda nilai? Tidak. Setiap pemeriksaan dapat diamati dari internet publik — informasi yang sama yang akan dilihat oleh server mail penerima atau browser pengunjung. Tidak ada login, intrusi, atau akses ke sistem privat.
Mengapa sebuah domain bisa mendapat nilai F? Paling sering karena domain tersebut tidak memiliki SPF dan DMARC yang ditegakkan sehingga dapat dipersonifikasikan dalam email — kelemahan nyata yang dapat diverifikasi secara eksternal.
Bisakah saya melihat nilai domain perusahaan tertentu? Hanya jika itu adalah domain Anda sendiri dan Anda memverifikasi kepemilikan. Kami tidak pernah mempublikasikan nilai domain bisnis individual.
Seberapa sering data diperbarui? Terus-menerus. Seluruh populasi diperbarui secara berkala dan setiap angka diberi tanggal “per” agar Anda mengetahui seberapa terkininya.
Periksa domain Anda sendiri
Cara tercepat untuk memahami metodologi adalah menjalankannya. Periksa domain Anda sendiri secara privat dan gratis, dan lihat semua 34 pemeriksaan yang dinilai dengan penjelasan dan solusi yang mudah dipahami.
Periksa domain Anda → · Kurva nilai keamanan internet → · Hanya data agregat. Data disimpan dan diproses di EU.