Defaults.Exposed › Laporan
Paradoks DNSSEC: Lebih Banyak Domain Merosakkannya Daripada Melaksanakannya dengan Betul (2026)
Diterbitkan 2026-06-29
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentas 261 juta domain yang dinilai. Lihat cara kami menilai.
DNSSEC sepatutnya menjadikan domain anda lebih sukar dirampas — tetapi ia begitu cerewet sehingga lebih banyak domain mempunyainya rosak berbanding berfungsi dengan betul. Daripada 261 juta domain, 3.02% mempunyai DNSSEC yang ditandatangani tetapi rosak, berbanding hanya 1.99% yang sah. Baki 94.99% langsung tidak mencubanya. DNS ialah lapisan yang dilupakan oleh perbualan keselamatan — dan angka membuktikannya.
Apa yang dikatakan data
| Keadaan DNSSEC | Bahagian domain |
|---|---|
| Sah (ditandatangani, berfungsi) | 1.99% |
| Rosak (ditandatangani, salah konfigurasi) | 3.02% |
| Langsung tidak ditandatangani | 94.99% |
Lebih banyak domain berada pada baris rosak berbanding baris sah. Itulah paradoksnya: dalam kalangan minoriti kecil yang menghidupkan DNSSEC, majoritinya melakukannya dengan salah.
Mengapa DNSSEC yang rosak lebih teruk daripada tiada DNSSEC?
DNSSEC yang tidak ditandatangani hanyalah tidak dilindungi. DNSSEC rosak pula berbahaya secara aktif: resolver yang mengesahkan akan enggan menyelesaikan domain yang tandatangannya tidak menepati, jadi salah konfigurasi boleh menjadikan domain anda terputus sepenuhnya bagi sebahagian internet — tiada laman web, tiada e-mel — sehingga ia dibaiki. Ciri yang sepatutnya melindungi anda itu sendiri menjadi gangguan yang ditimbulkan sendiri. Risiko itu, ditambah dengan penggiliran kunci dan penyerahan kepada pendaftar yang benar-benar rumit, ialah sebab penggunaannya kekal hampir di paras bawah.
Jurang keselamatan DNS yang lebih luas
DNSSEC bukan satu-satunya kawalan DNS yang diabaikan. Rekod CAA — yang menyekat siapa boleh mengeluarkan sijil TLS untuk domain anda dan secara senyap menyekat satu kelas serangan pengeluaran salah — hanya wujud pada 1.56% domain. DNS ialah asas: jika ia dirampas, setiap kawalan hiliran lain boleh dipintas. Namun ia ialah lapisan yang paling sedikit pemilik pernah sentuh.
Patutkah saya menghidupkan DNSSEC?
Bagi kebanyakan perniagaan kecil, susunan keutamaan ialah pengesahan e-mel dan HTTPS dahulu — itu menghentikan serangan yang anda benar-benar hadapi setiap hari. DNSSEC penting, tetapi hanya jika dilakukan dengan betul: tandatangan yang rosak lebih teruk daripada tiada. Jika anda mengaktifkannya, gunakan pembekal yang menguruskan penandatanganan dan penggiliran kunci untuk anda, dan sahkan ia mengesahkan hujung ke hujung selepas itu. Lihat baiki DNSSEC dan baiki CAA.
Soalan lazim
Adakah DNSSEC yang rosak benar-benar lebih teruk daripada tiada DNSSEC? Ya. Tiada DNSSEC hanya bermakna tiada perlindungan tambahan. DNSSEC yang rosak boleh menyebabkan domain anda gagal diselesaikan bagi rangkaian yang mengesahkan — menjadikan laman dan e-mel anda terputus sehingga dibaiki.
Berapa bahagian domain menggunakan DNSSEC dengan betul? Hanya 1.99% setakat 2026-06-29 — kurang daripada 3.02% yang mempunyainya ditandatangani tetapi rosak.
Apakah rekod CAA dan adakah saya memerlukannya? CAA menyekat pihak berkuasa sijil mana yang boleh mengeluarkan sijil untuk domain anda, menyekat satu kelas pengeluaran salah. Hanya 1.56% domain menetapkannya. Ia tambahan yang murah dan berisiko rendah.
Patutkah perniagaan kecil mengutamakan DNSSEC? Biasanya selepas pengesahan e-mel dan HTTPS. Buat itu dahulu; tambah DNSSEC hanya jika anda boleh menguruskannya dengan betul.
Semak keselamatan DNS domain anda secara percuma
Lihat status DNSSEC dan CAA anda — serta kawalan yang lebih penting — secara peribadi dan hanya untuk pemilik.
Semak domain anda → · Baiki DNSSEC → · Baiki CAA → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.