Defaults.Exposed › Laporan
Apa Itu DNSSEC — dan Adakah Anda Benar-benar Memerlukannya? (2026)
Diterbitkan 2026-07-01
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentasi 261 juta domain yang dinilai. DNSSEC menambah tandatangan kriptografi pada DNS supaya sebuah resolver boleh membuktikan bahawa sesuatu jawapan itu benar-benar datang daripada anda dan tidak diusik. Lihat cara kami menilai.
DNSSEC menandakan setiap jawapan DNS untuk domain anda dengan satu tandatangan, supaya penyerang tidak boleh secara senyap menukarnya dengan yang palsu dan menghantar pelawat anda ke tempat lain. Ia merupakan salah satu kawalan yang paling kurang digunakan di web: hanya 1.99% daripada 261 juta domain mempunyai rantaian bertandatangan yang sah. Ia juga salah satu daripada segelintir kawalan yang mana konfigurasi buruk lebih teruk daripada tiada langsung — 3.02% daripada domain ditandatangani tetapi rosak, yang boleh menyebabkannya tidak dapat dicapai. Berikut ialah apa yang dilakukannya dan sama ada anda memerlukannya.
Apa yang sebenarnya dilindungi oleh DNSSEC
DNS biasa tidak mempunyai cara untuk membuktikan bahawa sesuatu jawapan itu tulen. Itu membuka pintu kepada peracunan cache dan penipuan DNS di laluan (on-path) — seorang penyerang menyuap resolver dengan rekod palsu dan mengarahkan pelawat anda, atau e-mel anda, ke pelayan mereka, tanpa sebarang amaran sijil yang boleh mendedahkannya. DNSSEC menutup jurang itu dengan menandatangani rekod supaya resolver yang mengesahkan menolak apa-apa yang tidak dapat disahkan.
Apa yang tidak dilakukannya: ia tidak menyulitkan DNS, tidak menjamin laman web itu sendiri, dan tidak menggantikan HTTPS, DMARC atau CAA. Ia hanyalah satu lapisan — integriti untuk jawapan DNS.
Gambaran penggunaan
- 1.99% ditandatangani dan sah.
- 3.02% ditandatangani tetapi rosak — satu tandatangan yang gagal pengesahan, yang boleh menggugurkan domain itu bagi sesiapa yang menggunakan resolver yang mengesahkan. Inilah risiko yang menyebabkan orang berhati-hati.
- Di tempat yang mana sebuah pendaftar (registry) aktif menggalakkannya, penggunaan jauh lebih tinggi: pengakhiran negara yang didorong pendaftar mencapai 9.1% sah, berbanding 1.3% merentasi pengakhiran negara lain. Penggunaan ialah satu tuas dasar, bukan had teknikal. Lihat adakah DNSSEC mandatori berkesan dan paradoks DNSSEC.
Mengikut pengakhiran domain, DNSSEC yang sah berbeza-beza secara meluas: 18.38% pada .se, 11.86% pada .nl, 14.62% pada .cz — berbanding hanya 1.62% pada .com.
Adakah anda memerlukannya?
- Domain bernilai tinggi atau yang menjadi sasaran — bank, kerajaan, infrastruktur, apa-apa sahaja yang mana mengalihkan pengguna atau mel merupakan hadiah yang berharga — paling banyak mendapat manfaat.
- Organisasi yang didorong pematuhan — DNSSEC semakin kerap muncul dalam soal selidik keselamatan dan sebahagian peraturan sektor.
- Semua orang lain — ia merupakan langkah pengukuhan yang munasabah jika hos DNS anda menjadikannya satu klik dan menguruskan penggiliran kunci untuk anda. Jika mengaktifkannya bermakna anda perlu menguruskan kunci secara manual yang mungkin anda salah, risiko tandatangan rosak adalah nyata — lakukannya di tempat yang ia diautomasikan.
Cara mengaktifkannya dengan selamat
- Gunakan hos DNS yang mengautomasikan DNSSEC — penandatanganan dan penggiliran kunci diuruskan untuk anda (kebanyakan penyedia utama kini melakukan ini dengan satu klik). Lihat baiki DNSSEC.
- Aktifkan penandatanganan, kemudian terbitkan rekod DS di pendaftar nama anda untuk melengkapkan rantaian kepercayaan.
- Sahkan bahawa rantaian itu diselesaikan sebelum anda beredar — sebuah domain yang ditandatangani-tetapi-rosak lebih teruk daripada yang tidak ditandatangani.
- Jangan sekali-kali menguruskan kunci secara manual melainkan anda mempunyai alatan untuk menggilirnya dengan boleh dipercayai.
Soalan lazim
Apa itu DNSSEC dalam istilah mudah? Ia merupakan satu set tandatangan digital pada rekod DNS anda supaya resolver boleh membuktikan bahawa jawapan itu tulen dan tidak dipalsukan semasa transit.
Adakah saya benar-benar memerlukan DNSSEC? Ia paling berharga untuk domain yang menjadi sasaran tinggi dan di tempat yang mana pematuhan memerlukannya. Bagi semua orang lain ia merupakan langkah pengukuhan yang baik jika hos DNS anda mengautomasikannya — risiko utama ialah tersalah konfigurasi, yang dialami oleh 3.02% daripada domain buat masa ini.
Adakah DNSSEC menyulitkan DNS saya? Tidak. Ia membuktikan integriti (jawapan itu adalah sahih) tetapi tidak menyembunyikan pertanyaan. Itu ialah teknologi yang berbeza (DoH/DoT).
Bolehkah DNSSEC merosakkan laman web saya? Tandatangan yang rosak atau luput boleh menyebabkan domain anda tidak dapat diselesaikan bagi sesiapa yang menggunakan resolver yang mengesahkan. Itulah sebabnya penandatanganan automatik dan penggiliran kunci adalah penting.
Adakah DNSSEC percuma? Ya pada kebanyakan hos DNS moden — ia merupakan satu tetapan, bukan satu pembelian.
Semak DNSSEC domain anda secara percuma
Lihat sama ada domain anda ditandatangani, sah, dan dirantai dengan betul — secara peribadi, dan hanya untuk pemilik.
Semak domain anda → · Baiki DNSSEC → · Adakah DNSSEC mandatori berkesan? → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.