Defaults.Exposed › Rapporter
Hvordan vi graderte hele internett: A–F-metoden for domenesikkerhet (2026)
Publisert 2026-06-28
Referanseside · metodikk v7 · data per 2026-06-28. Denne siden forklarer hvordan hvert tall på dette nettstedet produseres. All publisert statistikk er aggregert; et enkelt domenes karakter vises kun til den verifiserte eieren.
Defaults.Exposed gir domener karakterer fra A+ til F basert på 34 eksternt observerbare sikkerhetskontroller, vurdert utelukkende fra det offentlige internett — uten noen gang å berøre noens systemer. Denne siden er den fullstendige, lettforståelige redegjørelsen for hvordan det fungerer: hva vi måler, hvordan en karakter beregnes, hva dataene kan og ikke kan fortelle deg, og de etiske reglene vi holder oss til. Den er bevisst transparent, fordi en sikkerhetskarakter er bare så troverdig som metoden bak den.
Hva vi måler
Hvert domene vurderes mot 34 kontroller gruppert i fem kategorier. Hver kontroll er noe hvem som helst kan observere utenfra — det er ingen skanning av private systemer, ingen innlogging, ingen inntrenging.
- E-postautentisering — kan dette domenet etterlignes i e-post? Inkluderer SPF, DKIM, DMARC (og om DMARC faktisk er på håndhevelse), og oppsettet for e-post (MX).
- TLS og sertifikater — er nettstedet kryptert riktig? Inkluderer sertifikatets gyldighet og samsvar med vertsnavn, moderne TLS-versjoner og HSTS.
- Sikkerhetshoder for web — forsvarer nettstedet nettleseren? Inkluderer Content-Security-Policy, beskyttelse mot clickjacking (X-Frame-Options), beskyttelse mot MIME-sniffing, Referrer-Policy og cross-origin-hoder.
- DNS — er navnelaget herdet? Inkluderer DNSSEC, CAA og navneserverkonfigurasjon.
- Infrastruktur — støttesignaler som revers-DNS og IPv6-støtte.
Av de 34 kontrollene er en del poenggivende (de påvirker karakteren) og resten er informative (rapportert for kontekst, men ikke straffet).
Hvordan en kontroll vurderes: bestått, ikke bestått eller ikke relevant
Hver kontroll resulterer i ett av tre utfall:
- Bestått — beskyttelsen er til stede og korrekt.
- Ikke bestått — beskyttelsen mangler eller er ødelagt. En reell svikt er en reell svikt: et domene uten håndhevet SPF og DMARC får dårlig karakter fordi det genuint kan forfalskes, ikke på grunn av hvordan vi talte.
- Ikke relevant — kontrollen kan genuint ikke fastslås for dette domenet. Resultater som er ikke relevant utelukkes fra karakteren; de teller aldri mot et domene.
Dette siste poenget er viktig: vi straffer ikke et domene for noe vi ikke kunne vurdere på en rettferdig måte.
Hvordan bokstavkarakteren beregnes
Karakterene går fra A+, A, B, C, D, F. Karakteren gjenspeiler hvor fullstendig et domene lukker de hullene som betyr noe — vektet mot kontrollene med størst reell betydning (e-postforfalskning og transportsikkerhet veier tyngre enn kosmetiske hoder). Et domene som får de høyt prioriterte grunnleggende tingene riktig og bare etterlater mindre hull, havner høyt; et domene som svikter de grunnleggende tingene som lar det bli etterlignet, havner på F.
Fordi den samme metoden brukes identisk på hvert domene, er karakterene sammenlignbare på tvers av hele populasjonen — noe som er det som gjør ligatabellene (etter TLD, land og bransje) meningsfulle.
Hvor stort er datasettet?
Vi sporer en beholdning på 333 millioner domener og gir karakter til den levende populasjonen på rundt 260 millioner som for øyeblikket løses opp. Publisert statistikk beregnes fra denne populasjonen ved byggetidspunkt og bærer datasettets per-dato slik at du alltid vet hvor aktuelt et tall er.
Hvor aktuelle er dataene?
Skanneflåten kjører kontinuerlig. Hele populasjonen oppdateres med jevn kadens, med enkelte TLD-er målt på nytt oftere, slik at tallene på dette nettstedet er en levende måling snarere enn et engangsbilde. Hver rapport viser sin per-dato, og flaggskipstudiene publiseres som gjentakende utgaver slik at trender kan spores over tid.
Hva dataene kan — og ikke kan — fortelle deg
Vi mener at begrensningene betyr like mye som funnene:
- Geografi og bransje utledes fra domenets endelse, ikke fra firmaregistrering. Et lands tall er basert på dets nasjonale domeneendelse (ccTLD); en bransjes tall er basert på bransjespesifikke endelser. Et firma som bruker en generisk endelse som
.comkan ikke tilskrives et land eller en sektor på dette nivået. Disse segmentene er “nøyaktige nok” til å sammenligne populasjoner, med dette forbeholdet oppgitt. - Vi måler domener, ikke organisasjoner. Ett selskap kan eie mange domener; vi gir hvert domene karakter etter dets egen konfigurasjon.
- Kun ekstern visning. Vi vurderer det som er observerbart fra det offentlige internett. Vi ser ikke, og forsøker ikke å se, noe bak en innlogging.
Våre regler: kun aggregert, eier-privat, EU-bosatt
Tre forpliktelser styrer alt vi publiserer:
- Kun aggregert. Vi publiserer populasjonsmønstre — ligatabeller per TLD, per land, per bransje. Vi publiserer aldri en indeksert side som navngir en enkelt virksomhet og dens karakter.
- Eier-privat. Et enkelt domenes karakter og oppdeling per kontroll vises kun til den verifiserte eieren som sjekker det.
- EU-databosted. Alle data lagres og behandles innenfor EU — en samsvarsholdning og en bevisst tillitsforpliktelse.
Ofte stilte spørsmål
Hvordan beregner Defaults.Exposed et domenes sikkerhetspoeng? Ved å kjøre 34 eksternt observerbare kontroller (e-postautentisering, TLS, web-hoder, DNS og infrastruktur), vurdere hver som bestått / ikke bestått / ikke relevant, og vekte dem mot reell betydning for å produsere en karakter fra A+ til F.
Skanner eller hacker dere domenene dere gir karakter? Nei. Hver kontroll er observerbar fra det offentlige internett — den samme informasjonen en mottakende e-postserver eller en besøkendes nettleser ville se. Det er ingen innlogging, inntrenging eller tilgang til private systemer.
Hvorfor kan et domene få F? Vanligvis fordi det ikke har håndhevet SPF og DMARC og derfor kan etterlignes i e-post — en genuin, eksternt verifiserbar svakhet.
Kan jeg se karakteren til et bestemt selskaps domene? Bare hvis det er ditt eget domene og du verifiserer eierskap. Vi publiserer aldri enkeltvirksomheters karakterer.
Hvor ofte oppdateres dataene? Kontinuerlig. Hele populasjonen oppdateres med jevn kadens, og hvert tall er datert med en “per-dato” slik at du vet hvor aktuelt det er.
Sjekk et domene selv
Den raskeste måten å forstå metoden på er å kjøre den. Sjekk ditt eget domene privat og gratis, og se alle 34 kontrollene vurdert med lettforståelige forklaringer og løsninger.
Sjekk domenet ditt → · Internettets karakterkurve → · Kun aggregerte data. Data lagret og behandlet i EU.