Defaults.Exposed › Metodologija
Metodologija — kaip vertiname
Kiekvienas domenas vertinamas pagal 34 kriterijus (25 įskaičiuojami į įvertinimą + 9 informaciniai) penkiose kategorijose: el. pašto saugumas, TLS & sertifikatai, žiniatinklio saugumas, DNS saugumas ir infrastruktūra. Štai kaip tai veikia — jokių juodųjų dėžių.
Kaip veikia vertinimas
Kiekvienas kriterijus grąžina išlaikyta, neišlaikyta arba N/A. Domeno balas yra taškų dalis, gautų pagal jam taikomus kriterijus, atvaizduota į raidės įvertinimą:
| Įvertinimas | Balas |
|---|---|
| A+ | 95% + |
| A | 90% + |
| B | 80% + |
| C | 70% + |
| D | 60% + |
| F | žemiau 60% |
Įvertinimai taip pat yra santykiniai — procentilis rodo, kur domenas stovi TLD populiacijos atžvilgiu, o ne tik pagal fiksuotą kontrolinį sąrašą.
Duomenų trūkumo taisyklė (N/A niekada nelaikoma nesėkme)
Jei kriterijaus iš tikrųjų nepavyksta įvertinti (baigėsi skirtasis laikas, redaguotas įrašas), jis pažymimas N/A ir neįtraukiamas į balą — niekada neskaičiuojamas prieš jus. Tai skiriasi nuo tikros nesėkmės (nėra DMARC, nėra HTTPS), kuri yra tikras nepavykimas. Domenas be SPF/DMARC teisingai gauna žemą balą: jis gali būti suklastotas.
Principai
- Nepriklausomas & išorinis. Matuojame tai, ką gali stebėti bet kas internete — nereikia prieigos prie jūsų sistemų.
- Tik suvestiniai viešai. Skelbiame modelius (pagal TLD, šalį, pramonės sektorių). Atskiro domeno įvertinimas rodomas tik patvirtintam savininkui — niekada viešai.
- Skaidrus. Visas kriterijų sąrašas yra žemiau; taisymai nemokomi.
- Apdorota ES. Duomenys tvarkomi Europos Sąjungoje.
34 kriterijai
Kiekvienas kriterijus, ką jis reiškia jūsų verslui ir ar įskaičiuojamas į įvertinimą. Sekite nuorodą, kad gautumėte pilną "ką tai kainuoja + kaip ištaisyti" instrukciją.
El. pašto saugumas
Ar jūsų domenas gali būti apsimetamas el. pašte ir ar jūsų laiškai pasiekia gautų dėžutę.
| Kriterijus | Ką tai reiškia jūsų verslui | Įskaičiuojama į įvertinimą? |
|---|---|---|
| SPF įrašas | Neleidžia nusikaltėliams siųsti el. laiškų, atrodančių tarsi iš jūsų, ir padeda jūsų laiškams pasiekti gautų dėžutę. | Įskaičiuojama |
| SPF politikos stiprumas | Silpnas SPF tik įspėja; griežtas iš tikrųjų blokuoja klastojimus. | Įskaičiuojama |
| DMARC politika | Instrukcija, kuri liepia pašto tiekėjams atmesti apsimetinėjančius el. laiškus — pagrindinis apsaugos nuo klastojimo valdiklis. | Įskaičiuojama |
| DMARC ataskaitų teikimas | Ataskaitos apie tai, kas siunčia el. laiškus jūsų vardu, kad pastebėtumėte piktnaudžiavimą ir klaidas. | Įskaičiuojama |
| DKIM | Kriptografinis parašas, įrodantis, kad laiškas iš tikrųjų yra iš jūsų; pagerina pristatymo rodiklius. | Įskaičiuojama |
| MX įrašai | Ar jūsų domenas teisingai sukonfigūruotas gauti el. laiškus. | Įskaičiuojama |
| Atvirkštinis DNS (PTR) | Padeda jūsų pašto serveriui atrodyti legitimiai, kad laiškai nebūtų laikomi šiukšlėmis. | Įskaičiuojama |
TLS ir sertifikatai
Spyna — ar srautas į jūsų svetainę yra užšifruotas galiojančiu, moderniu sertifikatu.
| Kriterijus | Ką tai reiškia jūsų verslui | Įskaičiuojama į įvertinimą? |
|---|---|---|
| HTTPS prieinamas | Be jo naršyklės įspėja lankytojus "Nesaugu" ir jie išeina. | Įskaičiuojama |
| Sertifikatas galioja | Patikimas, teisingai išduotas sertifikatas; negaliojantis sukelia bauginančius naršyklės įspėjimus. | Įskaičiuojama |
| Sertifikato galiojimo pabaiga | Netrukus baigiantis galioti sertifikatas atjungia jūsų svetainę su viso puslapio įspėjimu. | Įskaičiuojama |
| Parašo algoritmas | Naudoja modernų, nesulaužytą parašo algoritmą (ne pasenusį SHA-1). | Įskaičiuojama |
| Rakto stiprumas | Pakankamas rakto ilgis, kad šifravimo nepavyktų atspėti jėga. | Įskaičiuojama |
| TLS versija | Moderni TLS (1.2/1.3); senos versijos yra pažeistos ir neišlaiko saugumo patikrinimų. | Įskaičiuojama |
| Šifravimo stiprumas | Stiprus šifravimas, apsaugantis duomenis perdavimo metu. | Įskaičiuojama |
| TLS glaudinimas | Glaudinimas išjungtas, kad būtų išvengta žinomos atakų klasės. | Informacinis |
| OCSP sąvaržimas | Greitesni, privatesni sertifikato atšaukimo tikrinimai. | Informacinis |
| Saugus derybų atnaujinimas | Apsauga nuo TLS derybų atnaujinimo atakos. | Informacinis |
Žiniatinklio saugumas
HTTP antraštės, apsaugančios jūsų lankytojų naršykles nuo įprastų atakų.
| Kriterijus | Ką tai reiškia jūsų verslui | Įskaičiuojama į įvertinimą? |
|---|---|---|
| HSTS | Užtikrina saugią spyną kiekvieno apsilankymo metu, kad klientai negalėtų būti priverčiami naudoti nesaugų ryšį. | Įskaičiuojama |
| HTTP→HTTPS nukreipimas | Lankytojus, atvykusius per http, iš karto nukreipia į saugią versiją. | Įskaičiuojama |
| Turinio saugumo politika | Sumažina tikimybę, kad įsilaužęs ar įterptas scenarijus pavogs klientų duomenis iš jūsų svetainės. | Įskaičiuojama |
| Apsauga nuo paspaudimų užgrobimo | Neleidžia užpuolikams įterpti jūsų svetainės, kad apgautų klientus spaudinėti tam tikrus elementus. | Įskaičiuojama |
| MIME tipo aptikimo apsauga | Neleidžia naršyklėms neteisingai interpretuoti failų, ką užpuolikai gali išnaudoti. | Įskaičiuojama |
| Nukreipimo politika | Kontroliuoja, kokia adreso informacija nuteka į kitas svetaines, kai lankytojai paspaudžia nuorodas. | Įskaičiuojama |
| Kryžminės kilmės antraštės (COOP/CORP/COEP) | Pažangi izoliacija, apsauganti nuo kryžminių svetainių duomenų nutekėjimo. | Informacinis |
DNS saugumas
Ar jūsų domeno pagrindai gali būti užgrobti ar išjungti.
| Kriterijus | Ką tai reiškia jūsų verslui | Įskaičiuojama į įvertinimą? |
|---|---|---|
| CAA įrašai | Neleidžia niekam, išskyrus jūsų pasirinktą tiekėją, išduoti SSL sertifikatų jūsų domenui. | Įskaičiuojama |
| DNSSEC (DS) | Neleidžia užpuolikams užgrobti jūsų domeną ir nukreipti lankytojus į netikrą jūsų svetainės kopiją. | Įskaičiuojama |
| DNSSEC (DNSKEY) | Pasirašymo raktas, kuris iš tikrųjų užtikrina DNSSEC apsaugą. | Įskaičiuojama |
| Vardų serverių įvairovė | Keli nepriklausomi vardų serveriai, kad vienas gedimas neišjungtų jūsų. | Įskaičiuojama |
| SOA konfigūracija | Teisingai sukonfigūruotas DNS "valdžios pradžios" įrašas. | Įskaičiuojama |
| IPv6 palaikymas | Pasiekiamas per modernų interneto protokolą. | Informacinis |
Infrastruktūra
Kontekstas apie tai, kur ir kaip jūsų svetainė yra talpinama (informacinis — šie kriterijai niekada nekeičia jūsų įvertinimo).
| Kriterijus | Ką tai reiškia jūsų verslui | Įskaičiuojama į įvertinimą? |
|---|---|---|
| CDN / WAF aptikimas | Ar turinio pristatymo tinklas / žiniatinklio programų ugniasienė apsaugo jūsų svetainę. | Informacinis |
| Talpinimo tiekėjas | Identifikuoja, kur talpinama jūsų svetainė. | Informacinis |
Norite pamatyti, kur jūsų domenas stovi pagal visus 34 kriterijus? Atlikite nemokamą patikrinimą → (privatu; atskiro domeno įvertinimą rodom tik patvirtintam savininkui).