Defaults.Exposed › Report
La hall of fame delle configurazioni errate: i record di sicurezza più bizzarri del web (2026)
Pubblicato 2026-06-29
Cifre aggiornate al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Ogni cifra qui sotto è uno schema reale e ricorrente — non un caso isolato. Vedi come valutiamo.
La maggior parte dei fallimenti di sicurezza è noiosa: un’impostazione lasciata disattivata. Alcuni sono genuinamente divertenti — l’equivalente digitale di consegnare l’edificio con il cartello «INSERIRE NOME INQUILINO» ancora in vetrina. Abbiamo valutato 261 milioni di domini; ecco i record che ci hanno fatto guardare due volte.
1. Il certificato che nessuno ha rinominato
Quando generi un certificato TLS con i prompt predefiniti di OpenSSL e premi semplicemente Invio, il nome dell’organizzazione diventa un segnaposto. Quei segnaposto dovrebbero essere sostituiti prima della messa in produzione. Non lo sono stati:
| Nome «Emesso da» sul certificato in produzione | Siti |
|---|---|
| Internet Widgits Pty Ltd | 244.468 |
| MyCompany Inc. | 226.830 |
| TRAEFIK DEFAULT CERT | 108.348 |
| localhost | 106.086 |
«Internet Widgits Pty Ltd» è il valore predefinito letterale nella configurazione di esempio di OpenSSL — e 244.468 siti pubblici stanno servendo un certificato timbrato con esso. Tra tutti i nomi ovvi di segnaposto e predefiniti, 685.732 siti non hanno mai cambiato il cartello. Ognuno di essi è anche autofirmato, quindi i visitatori ricevono un avviso del browser — stanno servendo il segnaposto e l’errore.
2. DMARC, perso nella traduzione
Una policy DMARC funziona solo se recita esattamente p=none, p=quarantine o p=reject. 48.648 domini hanno pubblicato qualcos’altro — la parola della policy scritta male, o redatta interamente in un’altra lingua (i dati in tempo reale includono versioni spagnole, francesi e portoghesi di «none»). L’intenzione era giusta; l’ortografia esatta no — e DMARC accetta solo la parola chiave inglese, quindi tutti loro forniscono protezione zero. (Elenco completo e attuale con i conteggi: i refusi DMARC più comuni di internet.)
3. Lo zerbino di benvenuto di SPF
L’unico compito di SPF è dire quali server possono inviare posta a tuo nome. 36.014 domini terminano il loro record con +all — il che significa esattamente l’opposto: «qualsiasi server su internet è autorizzato a inviare a mio nome.» È l’equivalente in sicurezza di attaccare la propria chiave alla porta con il nastro adesivo. Altri 7958 rompono silenziosamente il loro SPF superando il limite di 10 lookup DNS, annullandolo del tutto. (Altro: il rapporto sulla configurazione errata di SPF.)
4. Menzione d’onore: i milioni autofirmati
Oltre ai nomi divertenti, 3.378.080 siti servono un certificato autofirmato — uno che hanno emesso a se stessi, e che i browser rifiutano. Di solito un router, una macchina di test o uno strumento interno che è stato accidentalmente puntato verso l’internet pubblico e non ha mai ottenuto un certificato reale.
Cosa hanno in comune quelli divertenti
Ogni voce qui ha la stessa causa principale dei fallimenti noiosi: un valore predefinito lasciato intatto, un passaggio saltato, un copia-incolla non terminato. Il web non fallisce in modo drammatico — fallisce per inerzia, un segnaposto non rinominato alla volta. Il lato positivo: ognuno di questi è una correzione di cinque minuti.
Domande frequenti
Perché così tanti certificati dicono «Internet Widgits Pty Ltd»? È il nome dell’organizzazione predefinito nella configurazione di esempio di OpenSSL. Quando qualcuno genera un certificato e accetta i valori predefiniti, quel segnaposto finisce sul certificato in produzione. 244.468 siti pubblici non l’hanno mai cambiato.
Una policy DMARC in un’altra lingua fa qualcosa?
No. DMARC riconosce solo le parole chiave esatte none, quarantine e reject. Un record con la parola della policy scritta male o redatta in un’altra lingua è non valido e viene ignorato — il dominio resta falsificabile.
Cosa fa SPF +all? Autorizza ogni server su internet a inviare email a nome del tuo dominio — peggio che non avere alcun SPF. 36.014 domini ce l’hanno, quasi sempre per errore.
Sono rari casi limite? No — ognuno corrisponde a centinaia di migliaia fino a milioni di domini, riscontrati in modo coerente in un censimento di 261 milioni di domini. Sono valori predefiniti comuni, non incidenti bizzarri.
Verifica che il tuo dominio non finisca nella prossima edizione
La maggior parte di questi sono correzioni di una riga. Controlla il tuo dominio in privato e gratuitamente — vedi il tuo certificato, DMARC e SPF esattamente come li vede internet.
Controlla il tuo dominio → · Refusi DMARC → · Rapporto sulla configurazione errata di SPF → · Il rapporto sugli errori dei certificati → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.