Defaults.Exposed › Metodologia
Metodologia — come assegniamo i voti
Ogni dominio viene valutato su 34 controlli (25 che incidono sul voto + 9 informativi) in cinque categorie: sicurezza email, TLS e certificati, sicurezza web, sicurezza DNS e infrastruttura. Ecco esattamente come funziona — nessuna scatola nera.
Come funziona la valutazione
Ogni controllo restituisce superato, non superato o N/D. Il punteggio di un dominio è la quota di punti che ottiene sui controlli a esso applicabili, convertita in un voto in lettera:
| Voto | Punteggio |
|---|---|
| A+ | 95% + |
| A | 90% + |
| B | 80% + |
| C | 70% + |
| D | 60% + |
| F | sotto il 60% |
I voti sono anche relativi — un percentile mostra come si posiziona un dominio rispetto alla popolazione del suo TLD, non solo rispetto a una checklist fissa.
La regola del dato mancante (N/D non conta mai come fallimento)
Se un controllo non può essere realmente valutato (un timeout, un record oscurato), viene contrassegnato come N/D ed escluso dal punteggio — non conta mai contro di te. È diverso da un vero fallimento (nessun DMARC, nessun HTTPS), che è un fallimento autentico. Un dominio senza SPF/DMARC ottiene giustamente un punteggio basso: può subire spoofing.
Principi
- Indipendente ed esterna. Misuriamo ciò che chiunque su Internet può osservare — nessun accesso ai tuoi sistemi richiesto.
- Solo dati aggregati in pubblico. Pubblichiamo pattern (per TLD, paese, settore). Il voto di un singolo dominio è mostrato solo al suo proprietario verificato — mai pubblicamente.
- Trasparente. L'elenco completo dei controlli è qui sotto; le correzioni sono gratuite.
- Elaborata nell'UE. I dati sono elaborati nell'UE.
I 34 controlli
Ogni controllo, cosa significa per la tua attività e se incide sul tuo voto. Segui un link per la guida completa "quanto ti costa + come risolverlo".
Sicurezza email
Se il tuo dominio può essere impersonato nelle email e se le tue stesse email arrivano nella posta in arrivo.
| Controllo | Cosa significa per la tua attività | Incide sul voto? |
|---|---|---|
| Record SPF | Impedisce ai criminali di inviare email che sembrano provenire da te e aiuta le tue email ad arrivare nella posta in arrivo. | Conta nel voto |
| Robustezza della policy SPF | Un SPF debole si limita ad avvisare; uno rigoroso blocca davvero le contraffazioni. | Conta nel voto |
| Policy DMARC | L'istruzione che dice ai provider di posta di rifiutare le email impersonate — il controllo anti-spoofing fondamentale. | Conta nel voto |
| Reportistica DMARC | Segnala chi invia email a tuo nome, così individui abusi e configurazioni errate. | Conta nel voto |
| DKIM | Una firma crittografica che dimostra che l'email è davvero tua; migliora la recapitabilità. | Conta nel voto |
| Record MX | Se il tuo dominio è configurato correttamente per ricevere email. | Conta nel voto |
| DNS inverso (PTR) | Aiuta il tuo server di posta a sembrare legittimo così i messaggi non finiscono nella spazzatura. | Conta nel voto |
TLS e certificati
Il lucchetto — se il traffico verso il tuo sito è cifrato con un certificato valido e moderno.
| Controllo | Cosa significa per la tua attività | Incide sul voto? |
|---|---|---|
| HTTPS disponibile | Senza, i browser avvisano i visitatori "Non sicuro" e questi se ne vanno. | Conta nel voto |
| Certificato valido | Un certificato affidabile e rilasciato correttamente; uno non valido genera avvisi spaventosi nel browser. | Conta nel voto |
| Scadenza del certificato | Un certificato in scadenza manda il tuo sito offline con un avviso a tutta pagina. | Conta nel voto |
| Algoritmo di firma | Usa un algoritmo di firma moderno e non compromesso (non il vecchio SHA-1). | Conta nel voto |
| Robustezza della chiave | Lunghezza della chiave adeguata, così la cifratura non può essere forzata. | Conta nel voto |
| Versione TLS | TLS moderno (1.2/1.3); le versioni vecchie sono compromesse e non superano le verifiche di sicurezza. | Conta nel voto |
| Robustezza dei cifrari | Cifratura forte che protegge i dati in transito. | Conta nel voto |
| Compressione TLS | Compressione disabilitata per evitare una nota classe di attacchi. | Informativo |
| OCSP stapling | Controlli di revoca dei certificati più rapidi e più riservati. | Informativo |
| Rinegoziazione sicura | Protegge da un attacco di rinegoziazione TLS. | Informativo |
Sicurezza web
Gli header HTTP che proteggono i browser dei tuoi visitatori dagli attacchi più comuni.
| Controllo | Cosa significa per la tua attività | Incide sul voto? |
|---|---|---|
| HSTS | Impone il lucchetto sicuro a ogni visita, così i clienti non possono essere declassati a una connessione non sicura. | Conta nel voto |
| Reindirizzamento HTTP→HTTPS | Indirizza i visitatori che arrivano su http direttamente alla versione sicura. | Conta nel voto |
| Content-Security-Policy | Riduce la probabilità che uno script compromesso o iniettato rubi i dati dei clienti dal tuo sito. | Conta nel voto |
| Protezione dal clickjacking | Impedisce agli aggressori di incorporare il tuo sito per indurre i tuoi clienti a cliccare cose. | Conta nel voto |
| Protezione dal MIME-sniffing | Impedisce ai browser di interpretare male i file in modi sfruttabili dagli aggressori. | Conta nel voto |
| Referrer-Policy | Controlla quali informazioni sull'indirizzo trapelano verso altri siti quando i visitatori se ne vanno. | Conta nel voto |
| Header cross-origin (COOP/CORP/COEP) | Isolamento avanzato che rafforza la protezione contro le fughe di dati cross-site. | Informativo |
Sicurezza DNS
Se le fondamenta del tuo dominio possono essere dirottate o messe offline.
| Controllo | Cosa significa per la tua attività | Incide sul voto? |
|---|---|---|
| Record CAA | Impedisce a chiunque tranne il tuo provider scelto di emettere certificati SSL per il tuo dominio. | Conta nel voto |
| DNSSEC (DS) | Impedisce agli aggressori di dirottare il tuo dominio per inviare i visitatori a una copia falsa del tuo sito. | Conta nel voto |
| DNSSEC (DNSKEY) | La chiave di firma che fa funzionare davvero la protezione DNSSEC. | Conta nel voto |
| Diversità dei nameserver | Più nameserver indipendenti così un singolo guasto non ti mette offline. | Conta nel voto |
| Configurazione SOA | Un record DNS "start of authority" configurato correttamente. | Conta nel voto |
| Supporto IPv6 | Raggiungibile tramite il moderno protocollo Internet. | Informativo |
Infrastruttura
Contesto su dove e come è ospitato il tuo sito (informativo — questi non cambiano mai il tuo voto).
| Controllo | Cosa significa per la tua attività | Incide sul voto? |
|---|---|---|
| Rilevamento CDN / WAF | Se una rete di distribuzione dei contenuti / un web application firewall protegge il tuo sito. | Informativo |
| Provider di hosting | Identifica dove è ospitato il tuo sito. | Informativo |
Vuoi vedere come si posiziona il tuo dominio su tutti e 34 i controlli? Esegui la verifica gratuita → (privata; mostriamo il voto di un dominio solo al suo proprietario verificato).