Defaults.Exposed

Defaults.Exposed › Report

Il paradosso del DNSSEC: più domini lo rompono di quanti lo configurino bene (2026)

Pubblicato 2026-06-29

Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati. Vedi come valutiamo.

DNSSEC dovrebbe rendere il tuo dominio più difficile da dirottare — ma è così delicato che più domini lo hanno rotto che funzionante. Su 261 milioni di domini, il 3,02% ha DNSSEC firmato ma rotto, contro solo il 1,99% che lo ha valido. Il restante 94,99% non ci prova nemmeno. Il DNS è il livello che la conversazione sulla sicurezza dimentica — e i numeri lo dimostrano.

Cosa dicono i dati

Stato di DNSSECQuota di domini
Valido (firmato, funzionante)1,99%
Rotto (firmato, mal configurato)3,02%
Non firmato affatto94,99%

Più domini si trovano nella riga rotto che nella riga valido. Questo è il paradosso: tra la piccola minoranza che attiva DNSSEC, la maggioranza sbaglia.

Perché un DNSSEC rotto è peggio di nessun DNSSEC?

Un DNSSEC non firmato è semplicemente non protetto. Un DNSSEC rotto è attivamente pericoloso: un resolver che valida si rifiuterà di risolvere un dominio le cui firme non tornano, quindi una configurazione errata può mettere il tuo dominio completamente offline per una parte di internet — niente sito web, niente email — finché non viene corretta. La funzione stessa pensata per proteggerti diventa un’interruzione autoinflitta. Questo rischio, sommato a una rotazione delle chiavi e a un passaggio di registrar davvero complicati, è il motivo per cui l’adozione resta vicina al minimo.

Il divario più ampio di sicurezza del DNS

DNSSEC non è l’unico controllo DNS trascurato. I record CAA — che limitano chi può rilasciare certificati TLS per il tuo dominio e bloccano silenziosamente una classe di attacchi di rilascio improprio — sono presenti solo sul 1,56% dei domini. Il DNS è fondamentale: se viene dirottato, qualsiasi altro controllo a valle può essere aggirato. Eppure è il livello che meno proprietari toccano.

Dovrei attivare DNSSEC?

Per la maggior parte delle piccole imprese, l’ordine di priorità è prima l’autenticazione delle email e HTTPS — sono questi a fermare gli attacchi che affronti davvero ogni giorno. DNSSEC conta, ma solo se fatto correttamente: una firma rotta è peggio di nessuna. Se lo attivi, usa un fornitore che gestisca per te la firma e la rotazione delle chiavi, e verifica poi che validi da un capo all’altro. Vedi correggere DNSSEC e correggere CAA.

Domande frequenti

Un DNSSEC rotto è davvero peggio di nessun DNSSEC? Sì. Nessun DNSSEC significa solo nessuna protezione aggiuntiva. Un DNSSEC rotto può far sì che il tuo dominio non si risolva sulle reti che validano — mettendo offline il tuo sito e la tua email finché non viene corretto.

Quale quota di domini usa DNSSEC correttamente? Solo il 1,99% al 2026-06-29 — meno del 3,02% che lo ha firmato ma rotto.

Cos’è un record CAA e mi serve? CAA limita quali autorità di certificazione possono rilasciare certificati per il tuo dominio, bloccando una classe di rilascio improprio. Solo il 1,56% dei domini ne imposta uno. È un’aggiunta economica e a basso rischio.

Una piccola impresa dovrebbe dare priorità a DNSSEC? Di solito dopo l’autenticazione delle email e HTTPS. Fai prima quelli; aggiungi DNSSEC solo se puoi gestirlo correttamente.

Controlla gratis la sicurezza DNS del tuo dominio

Vedi il tuo stato DNSSEC e CAA — e i controlli che contano di più — in modo privato e riservato al proprietario.

Controlla il tuo dominio → · Correggere DNSSEC → · Correggere CAA → · Come valutiamo → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.