Defaults.Exposed › Rapporten
De DNSSEC-paradox: meer domeinen breken het dan dat ze het goed doen (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe we beoordelen.
DNSSEC zou je domein moeilijker te kapen moeten maken — maar het is zo lastig dat meer domeinen het kapot dan werkend hebben. Over 261 miljoen domeinen heeft 3,02% ondertekende maar defecte DNSSEC, tegenover slechts 1,99% dat het geldig heeft. De resterende 94,99% probeert het helemaal niet. DNS is de laag die het beveiligingsgesprek vergeet — en de cijfers tonen het aan.
Wat de gegevens zeggen
| DNSSEC-status | Aandeel van domeinen |
|---|---|
| Geldig (ondertekend, werkend) | 1,99% |
| Defect (ondertekend, verkeerd geconfigureerd) | 3,02% |
| Helemaal niet ondertekend | 94,99% |
Meer domeinen zitten in de defecte rij dan in de geldige rij. Dat is de paradox: van de kleine minderheid die DNSSEC inschakelt, doet de meerderheid het fout.
Waarom is defecte DNSSEC erger dan geen DNSSEC?
Niet-ondertekende DNSSEC is gewoon onbeschermd. Defecte DNSSEC is actief gevaarlijk: een validerende resolver weigert een domein te resolven waarvan de handtekeningen niet kloppen, dus een misconfiguratie kan je domein volledig offline halen voor een deel van het internet — geen website, geen e-mail — totdat het is opgelost. Juist de functie die je moet beschermen wordt een zelfveroorzaakte storing. Dat risico, plus echt lastige sleutelrotatie en registraroverdracht, is waarom de toepassing dicht bij de bodem blijft.
De bredere kloof in DNS-beveiliging
DNSSEC is niet de enige verwaarloosde DNS-controle. CAA-records — die beperken wie TLS-certificaten voor je domein mag uitgeven en stilletjes een klasse van foutieve-uitgifteaanvallen blokkeren — zijn aanwezig op slechts 1,56% van de domeinen. DNS is fundamenteel: als het wordt gekaapt, kan elke andere downstream-controle worden omzeild. Toch is het de laag die de minste eigenaren ooit aanraken.
Moet ik DNSSEC inschakelen?
Voor de meeste kleine bedrijven is de prioriteitsvolgorde eerst e-mailauthenticatie en HTTPS — die stoppen de aanvallen die je dagelijks daadwerkelijk tegenkomt. DNSSEC is belangrijk, maar alleen correct uitgevoerd: een defecte handtekening is erger dan geen. Als je het inschakelt, gebruik dan een provider die ondertekening en sleutelrotatie voor je beheert, en controleer daarna of het van begin tot eind valideert. Zie DNSSEC repareren en CAA repareren.
Veelgestelde vragen
Is defecte DNSSEC echt erger dan geen DNSSEC? Ja. Geen DNSSEC betekent alleen geen extra bescherming. Defecte DNSSEC kan ervoor zorgen dat je domein niet resolvet op validerende netwerken — waardoor je site en e-mail offline gaan totdat het is opgelost.
Welk aandeel van de domeinen gebruikt DNSSEC correct? Slechts 1,99% per 2026-06-29 — minder dan de 3,02% die het ondertekend maar defect heeft.
Wat is een CAA-record en heb ik er een nodig? CAA beperkt welke certificaatautoriteiten certificaten voor je domein mogen uitgeven, en blokkeert een klasse van foutieve uitgifte. Slechts 1,56% van de domeinen stelt er een in. Het is een goedkope toevoeging met laag risico.
Moet een klein bedrijf DNSSEC prioriteren? Meestal na e-mailauthenticatie en HTTPS. Doe die eerst; voeg DNSSEC alleen toe als je het correct kunt beheren.
Controleer de DNS-beveiliging van je domein gratis
Bekijk je DNSSEC- en CAA-status — en de controles die belangrijker zijn — privé en alleen voor de eigenaar.
Controleer je domein → · DNSSEC repareren → · CAA repareren → · Hoe we beoordelen → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.