Defaults.Exposed

Defaults.Exposed › Laporan

Dewan Kemasyhuran Salah Konfigurasi: Rekod Keselamatan Paling Pelik di Web (2026)

Diterbitkan 2026-06-29

Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentas 261 juta domain yang dinilai. Setiap angka di bawah ialah corak sebenar yang berulang — bukan kejadian sekali sahaja. Lihat bagaimana kami menilai.

Kebanyakan kegagalan keselamatan adalah membosankan: satu tetapan yang dibiarkan dimatikan. Beberapa yang lain sungguh melucukan — setara digital dengan menyerahkan bangunan yang masih ada papan tanda «MASUKKAN NAMA PENYEWA» di tingkapnya. Kami menilai 261 juta domain; inilah rekod yang membuatkan kami memandang dua kali.

1. Sijil yang tiada siapa menamakan semula

Apabila anda menjana sijil TLS dengan gesaan lalai OpenSSL dan hanya menekan enter, nama organisasi menjadi pemegang tempat. Pemegang tempat ini sepatutnya digantikan sebelum dilancarkan. Ia tidak digantikan:

Nama «Dikeluarkan oleh» pada sijil yang aktifTapak
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» ialah nilai lalai secara harfiah dalam konfigurasi contoh OpenSSL — dan 244,468 tapak awam menyajikan sijil yang dicop dengannya. Merentas semua nama pemegang tempat dan lalai yang jelas, 685,732 tapak tidak pernah menukar papan tanda itu. Setiap satu daripadanya juga ditandatangani sendiri, jadi pelawat mendapat amaran pelayar — mereka menyajikan pemegang tempat dan ralat sekali gus.

2. DMARC, hilang dalam terjemahan

Dasar DMARC hanya berfungsi jika ia berbunyi tepat p=none, p=quarantine, atau p=reject. 48,648 domain menerbitkan sesuatu yang lain — perkataan dasar yang dieja salah, atau ditulis dalam bahasa yang sama sekali lain (data sebenar termasuk terjemahan «none» dalam bahasa Sepanyol, Perancis dan Portugis). Niatnya betul; ejaan tepatnya tidak — dan DMARC hanya menerima kata kunci bahasa Inggeris, jadi kesemuanya memberikan perlindungan sifar. (Senarai penuh dan terkini dengan kiraan: kesilapan menaip DMARC paling lazim di internet.)

3. Tikar selamat datang SPF

Seluruh tugas SPF ialah menyatakan pelayan mana yang boleh menghantar mel sebagai anda. 36,014 domain mengakhiri rekod mereka dengan +all — yang bermaksud sebaliknya sama sekali: «mana-mana pelayan di internet dibenarkan menghantar sebagai saya.» Ia setara keselamatan dengan melekatkan kunci anda pada pintu. Sebanyak 7,958 lagi diam-diam merosakkan SPF mereka dengan melebihi had 10 carian DNS, membatalkannya sepenuhnya. (Lebih lanjut: laporan salah konfigurasi SPF.)

4. Sebutan kehormat: jutaan sijil tandatangan sendiri

Selain nama-nama melucukan itu, 3,378,080 tapak menyajikan sijil tandatangan sendiri — satu yang mereka keluarkan kepada diri mereka sendiri, yang ditolak oleh pelayar. Biasanya sebuah penghala, kotak ujian, atau alat dalaman yang secara tidak sengaja dihalakan ke internet awam dan tidak pernah mendapat sijil sebenar.

Apa yang menjadi persamaan antara yang melucukan

Setiap entri di sini mempunyai punca asas yang sama dengan kegagalan yang membosankan: satu nilai lalai yang dibiarkan tidak disentuh, satu langkah yang dilangkau, satu salin-tampal yang tidak disiapkan. Web tidak gagal secara dramatik — ia gagal kerana inersia, satu pemegang tempat yang tidak dinamakan semula pada satu masa. Sisi baiknya: setiap satu daripadanya ialah pembaikan lima minit.

Soalan lazim

Mengapa begitu banyak sijil menyebut «Internet Widgits Pty Ltd»? Ia ialah nama organisasi lalai dalam konfigurasi contoh OpenSSL. Apabila seseorang menjana sijil dan menerima nilai lalai, pemegang tempat itu berakhir pada sijil yang aktif. 244,468 tapak awam tidak pernah menukarnya.

Adakah dasar DMARC dalam bahasa lain melakukan apa-apa? Tidak. DMARC hanya mengenali kata kunci tepat none, quarantine, dan reject. Rekod dengan perkataan dasar yang dieja salah atau ditulis dalam bahasa lain adalah tidak sah dan diabaikan — domain itu kekal boleh dipalsukan.

Apa yang dilakukan oleh SPF +all? Ia membenarkan setiap pelayan di internet menghantar e-mel sebagai domain anda — lebih teruk daripada tidak mempunyai SPF langsung. 36,014 domain mempunyainya, hampir selalu kerana tersilap.

Adakah ini kes terpencil yang jarang berlaku? Tidak — setiap satu melibatkan ratusan ribu hingga jutaan domain, ditemui secara konsisten merentas banci 261 juta domain. Ia ialah nilai lalai yang lazim, bukan kemalangan ganjil.

Semak supaya domain anda tiada dalam edisi seterusnya

Kebanyakan ini ialah pembaikan satu baris. Semak domain anda secara peribadi dan percuma — lihat sijil, DMARC dan SPF anda tepat seperti yang dilihat oleh internet.

Semak domain anda → · Kesilapan menaip DMARC → · Laporan salah konfigurasi SPF → · Laporan ralat sijil → · Data agregat sahaja. Data disimpan dan diproses di EU.