Defaults.Exposed › Rapporten
Een duik in WHOIS: de best presterende TLD's voor domeinbeveiliging (2026)
Gepubliceerd 2026-06-29
Cijfers vanaf 2026-06-28 · methodologie v7. Geaggregeerde censusgegevens – het cijfer van geen enkel individueel bedrijf wordt ooit gepubliceerd. Zie hoe we het internet hebben beoordeeld.
Voer een dig uit tegen het hele internet en één getal stijgt boven alle anderen uit: van 260 miljoen beoordeelde domeinen, verdienen slechts 0,022% – ongeveer 1 op 4.600 – een A of A+, de twee topcijfers voor veiligheidsconfiguratie. Het A-niveau is de zeldzaamste lucht online. Maar het is niet gelijk verdeeld: enkele top-level domeinen dragen ongeveer 5,8× hun aandeel. Laten we dus een WHOIS op de winnaars uitvoeren en vragen welke TLD’s veiligheid daadwerkelijk goed configureren.
dig +short: het A/A+-leaderboard
Gerangschikt naar het aandeel van beoordeelde domeinen van elk TLD dat A of A+ verdient – alleen robuuste dekkingsuiteinden (ten minste 100.000 beoordeelde domeinen, wat 112 TLD’s in de race laat):
| # | TLD | A/A+-aandeel |
|---|---|---|
| 1 | 0,12% | |
| 2 | .dev | 0,12% |
| 3 | .nl | 0,11% |
| 4 | .dk | 0,11% |
| 5 | .io | 0,10% |
| 6 | .no | 0,09% |
| 7 | .ee | 0,09% |
| 8 | .ai | 0,09% |
| 9 | .sg | 0,09% |
| 10 | .nz | 0,07% |
.email leidt met 0,12%. Lees dat getal twee keer: zelfs de best geconfigureerde hoek van het internet bereikt nog maar een fractie van één procent op het A-niveau. “Best-performing” hier is een relatieve kroon, geen overwinningsronde – wat het ongemakkelijke thema is dat door de hele beoordelingscurve loopt.
WHOIS daadwerkelijk winnen
Twee stammen zitten bovenaan de tabel, en geen van beiden is daar bij toeval.
De builder-uiteinden. Domeinen als .email, .dev en .io worden overwegend gekocht door mensen die al weten wat een MX-record is. Developers, infrastructuurteams en technologiebedrijven hebben de voorkeur voor deze uiteinden – en dezelfde mensen grijpen naar DMARC, HSTS en DNSSEC uit reflex. De TLD is echt een proxy voor de technische geletterdheid van wie zijn DNS publiceert.
Noord-Europa. Landcodes als .nl, .dk en .no clusteren dicht bij de top omdat hun registers jarenlang goede standaardwaarden hebben gepromoot – DNSSEC-adoptie in Nederland en de Scandinavische landen behoren tot de hoogste op de planeet. Wanneer een register elke registrant zachtjes richting zonesigning duwt, verschuift de hele TLD-beoordelingscurve ermee mee.
De conclusie is niet “koop een .email-domein en je bent veilig”. Het is dat goede configuratie zich concentreert waar ofwel de kopers ofwel het register al voorzorgzaam zijn.
Het .com-vraagstuk oplossen
Hier is de wending. Het A/A+-aandeel van .com – het grootste top-level domein op het internet – is slechts 0,017%, onder het 0,022%-internetwijd gemiddelde en een fractie van de 0,12% die .email behaalt. Schaal is geen veiligheid. Een eindpunt met honderden miljoenen domeinen is een eindpunt met honderden miljoenen eigenaren, waarvan de meesten nooit een SPF-record hebben gepubliceerd – en het gemiddelde lost zich dienovereenkomstig naar beneden op.
Dat is precies waarom een ranglijst de kleine, eigenzinnige eindpunten beloont boven de gigantische standaard.
Het is niet de TLD – het zijn de records die u publiceert
Een domein verdient geen A vanwege de letters na de punt. Het verdient er een omdat iemand de juiste DNS- en HTTP-records heeft gepubliceerd:
- E-mail die niet kan worden vervalst – SPF, DKIM en DMARC bij afhandeling (
p=quarantineofp=reject), nooitp=none. (DMARC repareren →) - TLS goed gedaan – een geldig modern certificaat plus HSTS. (HSTS repareren →)
- Een geharde zone – DNSSEC zodat antwoorden niet in het geheim kunnen worden vervalst, en CAA zodat alleen uw gekozen autoriteit certificaten kan uitgeven. (DNSSEC repareren →)
- De beveiligingsheaders die de klus klaren – Content-Security-Policy, X-Frame-Options en de rest.
Elk ervan is gratis en beschikbaar op elk TLD. De leiders hebben ze gewoon ingeschakeld. Voor het volledige patroon, zie wat de elite van A-graad anders doet.