Defaults.Exposed

Defaults.Exposed › Ataskaitos

DNSSEC paradoksas: daugiau domenų jį sugadina, nei sukonfigūruoja teisingai (2026)

Paskelbta 2026-06-29

Duomenys 2026-06-29 dienai · metodika v7. Apibendrinti surašymo duomenys apie 261 milijonus įvertintų domenų. Žiūrėkite kaip vertiname.

DNSSEC turėtų apsunkinti jūsų domeno užgrobimą — bet jis toks įnoringas, kad daugiau domenų jį turi sugadintą nei tinkamai veikiantį. Iš 261 milijonų domenų 3.02% turi pasirašytą, bet sugadintą DNSSEC, palyginti su vos 1.99%, kuriuose jis galioja. Likę 94.99% jo apskritai nebando. DNS yra sluoksnis, kurį saugumo pokalbis pamiršta, ir skaičiai tai rodo.

Ką sako duomenys

DNSSEC būsenaDomenų dalis
Galiojantis (pasirašytas, veikia)1.99%
Sugadintas (pasirašytas, blogai sukonfigūruotas)3.02%
Visai nepasirašytas94.99%

Sugadintų eilutėje yra daugiau domenų nei galiojančių eilutėje. Tai ir yra paradoksas: tarp mažos mažumos, kuri įjungia DNSSEC, dauguma jį sukonfigūruoja neteisingai.

Kodėl sugadintas DNSSEC blogiau nei jokio DNSSEC?

Nepasirašytas DNSSEC tiesiog neapsaugotas. Sugadintas DNSSEC yra aktyviai pavojingas: tikrinantysis sprendiklis atsisakys išspręsti domeną, kurio parašai netikrinami, todėl bloga konfigūracija gali padaryti jūsų domeną visiškai neprieinamą daliai interneto — jokios svetainės, jokio el. pašto — kol bus pataisyta. Ta pati funkcija, kuri turėjo jus apsaugoti, tampa jūsų pačių sukeltu gedimu. Ši rizika kartu su tikrai sudėtingu raktų keitimu ir perdavimu registratoriui ir yra priežastis, kodėl pritaikymas lieka beveik prie dugno.

Platesnė DNS saugumo spraga

DNSSEC nėra vienintelė apleista DNS kontrolė. CAA įrašai — kurie riboja, kas gali išduoti TLS sertifikatus jūsų domenui, ir tyliai blokuoja vieną klaidingo išdavimo atakų klasę — yra tik 1.56% domenų. DNS yra pamatinis: jei jis užgrobiamas, bet kurią kitą tolesnę kontrolę galima apeiti. Vis dėlto tai sluoksnis, prie kurio prisiliečia mažiausiai savininkų.

Ar turėčiau įjungti DNSSEC?

Daugumai mažų įmonių prioritetų eilė yra pirmiausia el. pašto autentifikavimas ir HTTPS — jie sustabdo atakas, su kuriomis iš tikrųjų susiduriate kasdien. DNSSEC svarbus, bet tik padarytas teisingai: sugadintas parašas yra blogiau nei jokio. Jei jį įjungiate, naudokite teikėją, kuris už jus tvarko pasirašymą ir raktų keitimą, ir po to patikrinkite, kad jis galioja nuo galo iki galo. Žiūrėkite pataisyti DNSSEC ir pataisyti CAA.

Dažnai užduodami klausimai

Ar sugadintas DNSSEC tikrai blogiau nei jokio DNSSEC? Taip. Jokio DNSSEC tiesiog reiškia jokios papildomos apsaugos. Sugadintas DNSSEC gali padaryti, kad jūsų domenas neišsisprendžia tikrinančiuose tinkluose — jūsų svetainė ir el. paštas tampa neprieinami, kol bus pataisyta.

Kokia dalis domenų naudoja DNSSEC teisingai? Vos 1.99% 2026-06-29 dienai — mažiau nei 3.02%, kurie jį turi pasirašytą, bet sugadintą.

Kas yra CAA įrašas ir ar man jo reikia? CAA riboja, kurios sertifikavimo institucijos gali išduoti sertifikatus jūsų domenui, blokuodamas vieną klaidingo išdavimo klasę. Tik 1.56% domenų jį nustato. Tai pigus, mažos rizikos papildymas.

Ar maža įmonė turėtų teikti pirmenybę DNSSEC? Paprastai po el. pašto autentifikavimo ir HTTPS. Padarykite juos pirmiausia; DNSSEC pridėkite tik tada, jei galite jį tinkamai tvarkyti.

Patikrinkite savo domeno DNS saugumą nemokamai

Pamatykite savo DNSSEC ir CAA būseną — ir svarbesnes kontroles — privačiai ir tik savininkui.

Patikrinkite savo domeną → · Pataisyti DNSSEC → · Pataisyti CAA → · Kaip vertiname → · Tik apibendrinti duomenys. Duomenys saugomi ir tvarkomi ES.