Defaults.Exposed

Defaults.Exposed › Rapporter

Feilkonfigurasjonenes æresgalleri: nettets rareste sikkerhetsposter (2026)

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner graderte domener. Hvert tall nedenfor er et reelt, gjentakende mønster — ikke et engangstilfelle. Se hvordan vi graderer.

De fleste sikkerhetssvikt er kjedelige: en innstilling som ble glemt. Noen få er virkelig morsomme — den digitale ekvivalenten til å levere bygningen med skiltet «SETT INN LEIETAKERS NAVN» fortsatt i vinduet. Vi graderte 261 millioner domener; her er rekordene som fikk oss til å se to ganger.

1. Sertifikatet ingen ga nytt navn

Når du genererer et TLS-sertifikat med standardspørsmålene i OpenSSL og bare trykker enter, blir organisasjonsnavnet en plassholder. Disse plassholderne skal erstattes før lansering. Det ble de ikke:

«Utstedt av»-navnet på det aktive sertifikatetNettsteder
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» er den bokstavelige standardverdien i OpenSSLs eksempelkonfigurasjon — og 244,468 offentlige nettsteder serverer et sertifikat stemplet med den. På tvers av alle de åpenbare plassholder- og standardnavnene har 685,732 nettsteder aldri byttet ut skiltet. Hvert eneste av dem er også selvsignert, så besøkende får en nettleseradvarsel — de leverer plassholderen og feilen.

2. DMARC, tapt i oversettelsen

En DMARC-policy fungerer bare hvis den leser nøyaktig p=none, p=quarantine eller p=reject. 48,648 domener publiserte noe annet — policyordet feilstavet, eller skrevet på et helt annet språk (de faktiske dataene inkluderer spanske, franske og portugisiske gjengivelser av «none»). Intensjonen var riktig; den nøyaktige stavemåten var det ikke — og DMARC godtar bare det engelske nøkkelordet, så alle gir null beskyttelse. (Full, oppdatert liste med antall: internetts vanligste DMARC-skrivefeil.)

3. SPF-velkomstmatten

Hele jobben til SPF er å si hvilke servere som kan sende e-post som deg. 36,014 domener avslutter posten sin med +all — som betyr det stikk motsatte: «enhver server på internett er autorisert til å sende som meg.» Det er sikkerhetsekvivalenten til å teipe nøkkelen til døren. Ytterligere 7,958 ødelegger i det stille sin egen SPF ved å overskride grensen på 10 DNS-oppslag, noe som annullerer den fullstendig. (Mer: rapporten om SPF-feilkonfigurasjon.)

4. Hederlig omtale: de selvsignerte millionene

Utover de morsomme navnene serverer 3,378,080 nettsteder et selvsignert sertifikat — ett de utstedte til seg selv, som nettlesere avviser. Vanligvis en ruter, en testmaskin eller et internt verktøy som ved et uhell ble pekt mot det offentlige internett og aldri fikk et ekte sertifikat.

Hva de morsomme har til felles

Hver oppføring her har samme grunnårsak som de kjedelige svikene: en standard som ble stående urørt, et steg som ble hoppet over, en kopier-og-lim-inn som ikke ble fullført. Nettet svikter ikke dramatisk — det svikter ved treghet, én ugjendøpt plassholder om gangen. Det positive: hvert eneste av disse er en fem-minutters fiks.

Ofte stilte spørsmål

Hvorfor sier så mange sertifikater «Internet Widgits Pty Ltd»? Det er standard organisasjonsnavn i OpenSSLs eksempelkonfigurasjon. Når noen genererer et sertifikat og godtar standardverdiene, havner den plassholderen på det aktive sertifikatet. 244,468 offentlige nettsteder byttet det aldri ut.

Gjør en DMARC-policy på et annet språk noe som helst? Nei. DMARC gjenkjenner bare de nøyaktige nøkkelordene none, quarantine og reject. En post med policyordet feilstavet eller skrevet på et annet språk er ugyldig og ignoreres — domenet forblir mulig å forfalske.

Hva gjør SPF +all? Det autoriserer enhver server på internett til å sende e-post som ditt domene — verre enn å ikke ha SPF i det hele tatt. 36,014 domener har det, nesten alltid ved en feil.

Er dette sjeldne grensetilfeller? Nei — hvert er hundretusener til millioner av domener, funnet konsekvent på tvers av en folketelling på 261 millioner domener. Det er vanlige standardverdier, ikke freakuhell.

Sjekk at domenet ditt ikke havner i neste utgave

De fleste av disse er enlinjes-fikser. Sjekk domenet ditt privat og gratis — se sertifikatet, DMARC og SPF nøyaktig slik internett ser dem.

Sjekk domenet ditt → · DMARC-skrivefeil → · Rapport om SPF-feilkonfigurasjon → · Rapporten om sertifikatfeil → · Kun aggregerte data. Data lagres og behandles i EU.