Defaults.Exposed › Laporan
Hall of Fame Kesalahan Konfigurasi: Rekor Keamanan Paling Aneh di Web (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus agregat di 261 juta domain yang dinilai. Setiap angka di bawah ini adalah pola nyata dan berulang — bukan kejadian sekali saja. Lihat bagaimana kami menilai.
Sebagian besar kegagalan keamanan membosankan: sebuah pengaturan yang dibiarkan mati. Beberapa benar-benar lucu — setara digital dengan menyerahkan gedung dengan papan “MASUKKAN NAMA PENYEWA” yang masih terpasang di jendela. Kami menilai 261 juta domain; berikut adalah rekor yang membuat kami menengok dua kali.
1. Sertifikat yang tidak diganti namanya oleh siapa pun
Saat Anda membuat sertifikat TLS dengan perintah default OpenSSL dan langsung menekan Enter, nama organisasi menjadi placeholder. Placeholder tersebut seharusnya diganti sebelum ditayangkan. Namun tidak:
| Nama “Diterbitkan oleh” pada sertifikat live | Situs |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
“Internet Widgits Pty Ltd” adalah nilai default harfiah dalam konfigurasi contoh OpenSSL — dan 244,468 situs publik menyajikan sertifikat yang dicap dengannya. Di seluruh nama placeholder dan default yang jelas, 685,732 situs tidak pernah mengganti papannya. Masing-masing dari mereka juga ditandatangani sendiri, sehingga pengunjung mendapat peringatan peramban — mereka menyajikan placeholder dan kesalahannya.
2. DMARC, hilang dalam terjemahan
Kebijakan DMARC hanya berfungsi jika berbunyi persis p=none, p=quarantine, atau p=reject. 48,648 domain menerbitkan sesuatu yang lain — kata kebijakan salah eja, atau ditulis sepenuhnya dalam bahasa lain (data live mencakup versi Spanyol, Prancis, dan Portugis dari “none”). Niatnya benar; ejaan persisnya tidak — dan DMARC hanya menerima kata kunci bahasa Inggris, jadi semuanya memberikan perlindungan nol. (Daftar lengkap dan terkini dengan jumlahnya: kesalahan ketik DMARC paling umum di internet.)
3. Keset selamat datang SPF
Seluruh tugas SPF adalah menyatakan server mana yang boleh mengirim surel atas nama Anda. 36,014 domain mengakhiri rekamannya dengan +all — yang berarti justru sebaliknya: “server mana pun di internet diizinkan mengirim atas nama saya.” Ini setara dalam keamanan dengan menempelkan kunci Anda ke pintu. Sebanyak 7,958 lainnya diam-diam merusak SPF mereka dengan melampaui batas 10 pencarian DNS, sehingga membatalkannya sepenuhnya. (Selengkapnya: laporan kesalahan konfigurasi SPF.)
4. Penghargaan kehormatan: jutaan yang ditandatangani sendiri
Di luar nama-nama lucu, 3,378,080 situs menyajikan sertifikat yang ditandatangani sendiri — yang mereka terbitkan untuk diri sendiri, dan yang ditolak oleh peramban. Biasanya sebuah router, kotak uji, atau alat internal yang secara tidak sengaja diarahkan ke internet publik dan tidak pernah mendapatkan sertifikat asli.
Apa kesamaan kasus-kasus lucu ini
Setiap entri di sini memiliki akar penyebab yang sama dengan kegagalan yang membosankan: nilai default yang tidak disentuh, langkah yang dilewati, salin-tempel yang tidak selesai. Web tidak gagal secara dramatis — ia gagal karena kelembaman, satu placeholder yang tidak diganti namanya pada satu waktu. Sisi baiknya: setiap satu dari ini adalah perbaikan lima menit.
Pertanyaan yang sering diajukan
Mengapa begitu banyak sertifikat bertuliskan “Internet Widgits Pty Ltd”? Itu adalah nama organisasi default dalam konfigurasi contoh OpenSSL. Ketika seseorang membuat sertifikat dan menerima nilai default, placeholder tersebut berakhir pada sertifikat live. 244,468 situs publik tidak pernah menggantinya.
Apakah kebijakan DMARC dalam bahasa lain melakukan sesuatu?
Tidak. DMARC hanya mengenali kata kunci persis none, quarantine, dan reject. Rekaman dengan kata kebijakan yang salah eja atau ditulis dalam bahasa lain tidak valid dan diabaikan — domain tetap dapat dipalsukan.
Apa yang dilakukan SPF +all? Ia mengizinkan setiap server di internet untuk mengirim surel atas nama domain Anda — lebih buruk daripada tidak memiliki SPF sama sekali. 36,014 domain memilikinya, hampir selalu karena kesalahan.
Apakah ini kasus tepi yang langka? Tidak — masing-masing berjumlah ratusan ribu hingga jutaan domain, ditemukan secara konsisten di seluruh sensus 261 juta domain. Ini adalah nilai default yang umum, bukan kecelakaan aneh.
Pastikan domain Anda tidak ada di edisi berikutnya
Sebagian besar dari ini adalah perbaikan satu baris. Periksa domain Anda secara pribadi dan gratis — lihat sertifikat, DMARC, dan SPF Anda persis seperti yang dilihat internet.
Periksa domain Anda → · Kesalahan ketik DMARC → · Laporan kesalahan konfigurasi SPF → · Laporan kesalahan sertifikat → · Hanya data agregat. Data disimpan dan diproses di UE.