Defaults.Exposed › Rapporten
De Misconfiguration Hall of Fame: de vreemdste beveiligingsrecords van het web (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Elk cijfer hieronder is een echt, terugkerend patroon — geen eenmalig geval. Zie hoe we beoordelen.
De meeste beveiligingsfouten zijn saai: een instelling die uit bleef staan. Een paar zijn echt grappig — het digitale equivalent van het gebouw opleveren met het bord „NAAM HUURDER INVOEGEN” nog in het raam. We beoordeelden 261 miljoen domeinen; hier zijn de records die ons twee keer deden kijken.
1. Het certificaat dat niemand hernoemde
Wanneer je een TLS-certificaat genereert met de standaard OpenSSL-prompts en gewoon op Enter drukt, wordt de organisatienaam een tijdelijke aanduiding. Die tijdelijke aanduidingen horen vervangen te worden voordat het live gaat. Dat gebeurde niet:
| „Uitgegeven door”-naam op het live certificaat | Sites |
|---|---|
| Internet Widgits Pty Ltd | 244.468 |
| MyCompany Inc. | 226.830 |
| TRAEFIK DEFAULT CERT | 108.348 |
| localhost | 106.086 |
„Internet Widgits Pty Ltd” is de letterlijke standaardwaarde in de voorbeeldconfiguratie van OpenSSL — en 244.468 openbare sites serveren een certificaat dat ermee gestempeld is. Over alle voor de hand liggende tijdelijke aanduidingen en standaardnamen heen hebben 685.732 sites het bord nooit veranderd. Elk van hen is ook zelfondertekend, dus bezoekers krijgen een browserwaarschuwing — ze leveren de tijdelijke aanduiding én de fout.
2. DMARC, verloren in vertaling
Een DMARC-beleid werkt alleen als het exact p=none, p=quarantine of p=reject luidt. 48.648 domeinen publiceerden iets anders — het beleidswoord verkeerd gespeld, of helemaal in een andere taal geschreven (de live data bevat Spaanse, Franse en Portugese weergaven van „none”). De bedoeling was goed; de exacte spelling niet — en DMARC accepteert alleen het Engelse trefwoord, dus ze bieden allemaal nul bescherming. (Volledige, actuele lijst met aantallen: de meest voorkomende DMARC-typefouten van het internet.)
3. De SPF-welkomstmat
De hele taak van SPF is om aan te geven welke servers namens jou mail mogen versturen. 36.014 domeinen eindigen hun record op +all — wat precies het tegenovergestelde betekent: „elke server op internet is gemachtigd om namens mij te verzenden.” Het is het beveiligingsequivalent van je sleutel aan de deur plakken. Nog eens 7.958 breken stilletjes hun SPF door de limiet van 10 DNS-lookups te overschrijden, waardoor het volledig ongeldig wordt. (Meer: het SPF-misconfiguratierapport.)
4. Eervolle vermelding: de zelfondertekende miljoenen
Naast de grappige namen serveren 3.378.080 sites een zelfondertekend certificaat — een dat ze zichzelf hebben uitgegeven en dat browsers afwijzen. Meestal een router, een testmachine of een interne tool die per ongeluk op het openbare internet werd gericht en nooit een echt certificaat kreeg.
Wat de grappige gemeen hebben
Elke vermelding hier heeft dezelfde grondoorzaak als de saaie fouten: een onaangeroerde standaardwaarde, een overgeslagen stap, een niet afgemaakte kopieer-plakactie. Het web faalt niet dramatisch — het faalt door traagheid, één niet-hernoemde tijdelijke aanduiding tegelijk. Het lichtpuntje: elk hiervan is een oplossing van vijf minuten.
Veelgestelde vragen
Waarom zeggen zoveel certificaten „Internet Widgits Pty Ltd”? Het is de standaard organisatienaam in de voorbeeldconfiguratie van OpenSSL. Wanneer iemand een certificaat genereert en de standaardwaarden accepteert, belandt die tijdelijke aanduiding op het live certificaat. 244.468 openbare sites hebben het nooit veranderd.
Doet een DMARC-beleid in een andere taal iets?
Nee. DMARC herkent alleen de exacte trefwoorden none, quarantine en reject. Een record met het beleidswoord verkeerd gespeld of in een andere taal geschreven is ongeldig en wordt genegeerd — het domein blijft te spoofen.
Wat doet SPF +all? Het machtigt elke server op internet om e-mail namens jouw domein te verzenden — erger dan helemaal geen SPF hebben. 36.014 domeinen hebben het, bijna altijd per ongeluk.
Zijn dit zeldzame uitzonderingsgevallen? Nee — elk betreft honderdduizenden tot miljoenen domeinen, consistent gevonden over een census van 261 miljoen domeinen. Het zijn veelvoorkomende standaardwaarden, geen rare ongelukken.
Controleer of uw domein niet in de volgende editie staat
De meeste hiervan zijn oplossingen van één regel. Controleer uw domein privé en gratis — zie uw certificaat, DMARC en SPF precies zoals het internet ze ziet.
Controleer uw domein → · DMARC-typefouten → · SPF-misconfiguratierapport → · Het certificaatfoutrapport → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.