Defaults.Exposed › Laporan
Paradoks DNSSEC: Lebih Banyak Domain yang Merusaknya daripada Menerapkannya dengan Benar (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus agregat di 261 juta domain yang dinilai. Lihat cara kami menilai.
DNSSEC seharusnya membuat domain Anda lebih sulit dibajak — tetapi ia begitu rewel sehingga lebih banyak domain yang rusak daripada yang berfungsi. Di 261 juta domain, 3.02% memiliki DNSSEC yang ditandatangani tetapi rusak, dibandingkan hanya 1.99% yang valid. Sisanya 94.99% bahkan tidak mencobanya sama sekali. DNS adalah lapisan yang dilupakan oleh percakapan keamanan — dan angka-angka menunjukkannya.
Apa kata data
| Status DNSSEC | Pangsa domain |
|---|---|
| Valid (ditandatangani, berfungsi) | 1.99% |
| Rusak (ditandatangani, salah konfigurasi) | 3.02% |
| Sama sekali tidak ditandatangani | 94.99% |
Lebih banyak domain berada di baris rusak daripada baris valid. Itulah paradoksnya: di antara minoritas kecil yang mengaktifkan DNSSEC, mayoritas melakukannya dengan salah.
Mengapa DNSSEC yang rusak lebih buruk daripada tanpa DNSSEC?
DNSSEC yang tidak ditandatangani sekadar tidak terlindungi. DNSSEC yang rusak justru berbahaya: resolver yang memvalidasi akan menolak meresolusi domain yang tanda tangannya tidak cocok, sehingga kesalahan konfigurasi dapat membuat domain Anda sepenuhnya offline bagi sebagian internet — tanpa situs web, tanpa email — sampai diperbaiki. Fitur yang seharusnya melindungi Anda justru menjadi gangguan yang ditimbulkan sendiri. Risiko itu, ditambah pergantian kunci dan serah terima registrar yang memang rumit, adalah alasan adopsinya tetap mendekati titik terendah.
Kesenjangan keamanan DNS yang lebih luas
DNSSEC bukan satu-satunya kontrol DNS yang terabaikan. Catatan CAA — yang membatasi siapa yang boleh menerbitkan sertifikat TLS untuk domain Anda dan diam-diam memblokir sekelas serangan penerbitan keliru — hanya ada di 1.56% domain. DNS bersifat fundamental: jika dibajak, setiap kontrol lain di hilir dapat dilewati. Namun, itulah lapisan yang paling jarang disentuh pemilik.
Haruskah saya mengaktifkan DNSSEC?
Bagi sebagian besar usaha kecil, urutan prioritasnya adalah autentikasi email dan HTTPS lebih dulu — itulah yang menghentikan serangan yang benar-benar Anda hadapi setiap hari. DNSSEC penting, tetapi hanya jika dilakukan dengan benar: tanda tangan yang rusak lebih buruk daripada tidak ada. Jika Anda mengaktifkannya, gunakan penyedia yang mengelola penandatanganan dan pergantian kunci untuk Anda, lalu verifikasi setelahnya bahwa ia memvalidasi dari ujung ke ujung. Lihat perbaiki DNSSEC dan perbaiki CAA.
Pertanyaan yang sering diajukan
Apakah DNSSEC yang rusak benar-benar lebih buruk daripada tanpa DNSSEC? Ya. Tanpa DNSSEC hanya berarti tidak ada perlindungan tambahan. DNSSEC yang rusak dapat membuat domain Anda gagal diresolusi di jaringan yang memvalidasi — membuat situs dan email Anda offline sampai diperbaiki.
Berapa pangsa domain yang menggunakan DNSSEC dengan benar? Hanya 1.99% per 2026-06-29 — lebih sedikit dari 3.02% yang menandatanganinya tetapi rusak.
Apa itu catatan CAA dan apakah saya membutuhkannya? CAA membatasi otoritas sertifikat mana yang boleh menerbitkan sertifikat untuk domain Anda, memblokir sekelas penerbitan keliru. Hanya 1.56% domain yang menyetelnya. Ini tambahan murah dan berisiko rendah.
Haruskah usaha kecil memprioritaskan DNSSEC? Biasanya setelah autentikasi email dan HTTPS. Lakukan itu lebih dulu; tambahkan DNSSEC hanya jika Anda dapat mengelolanya dengan benar.
Periksa keamanan DNS domain Anda secara gratis
Lihat status DNSSEC dan CAA Anda — serta kontrol yang lebih penting — secara pribadi dan hanya untuk pemilik.
Periksa domain Anda → · Perbaiki DNSSEC → · Perbaiki CAA → · Cara kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.