Defaults.Exposed

Defaults.Exposed › Rapporter

DNSSEC-paradokset: flere domener bryter det enn får det til (2026)

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner graderte domener. Se hvordan vi graderer.

DNSSEC skal gjøre domenet ditt vanskeligere å kapre — men det er så pirkete at flere domener har det ødelagt enn har det i orden. Av 261 millioner domener har 3.02% signert, men ødelagt DNSSEC, mot bare 1.99% som har det gyldig. De resterende 94.99% prøver ikke i det hele tatt. DNS er laget sikkerhetssamtalen glemmer — og tallene viser det.

Hva dataene sier

DNSSEC-tilstandAndel av domener
Gyldig (signert, fungerer)1.99%
Ødelagt (signert, feilkonfigurert)3.02%
Ikke signert i det hele tatt94.99%

Flere domener havner i den ødelagte raden enn i den gyldige raden. Det er paradokset: blant det lille mindretallet som slår på DNSSEC, gjør flertallet det feil.

Hvorfor er ødelagt DNSSEC verre enn ingen DNSSEC?

Usignert DNSSEC er rett og slett ubeskyttet. Ødelagt DNSSEC er aktivt farlig: en validerende resolver vil nekte å løse opp et domene hvis signaturer ikke stemmer, så en feilkonfigurasjon kan ta domenet ditt helt offline for en del av internett — ingen nettside, ingen e-post — til det er rettet. Selve funksjonen som skal beskytte deg, blir et selvpåført avbrudd. Den risikoen, pluss genuint vanskelig nøkkelrullering og overlevering til registrar, er grunnen til at utbredelsen holder seg nær bunnen.

Det bredere DNS-sikkerhetsgapet

DNSSEC er ikke den eneste forsømte DNS-kontrollen. CAA-poster — som begrenser hvem som kan utstede TLS-sertifikater for domenet ditt og stille blokkerer en klasse feilutstedelsesangrep — finnes på bare 1.56% av domenene. DNS er grunnleggende: hvis det kapres, kan enhver annen kontroll nedstrøms omgås. Likevel er det laget færrest eiere noensinne tar i.

Bør jeg slå på DNSSEC?

For de fleste små bedrifter er prioriteringsrekkefølgen e-postautentisering og HTTPS først — de stopper angrepene du faktisk møter daglig. DNSSEC betyr noe, men bare gjort riktig: en ødelagt signatur er verre enn ingen. Hvis du aktiverer det, bruk en leverandør som håndterer signering og nøkkelrullering for deg, og verifiser at det validerer fra ende til ende etterpå. Se fiks DNSSEC og fiks CAA.

Ofte stilte spørsmål

Er ødelagt DNSSEC virkelig verre enn ingen DNSSEC? Ja. Ingen DNSSEC betyr bare ingen ekstra beskyttelse. Ødelagt DNSSEC kan gjøre at domenet ditt ikke løses opp for validerende nettverk — og tar nettstedet og e-posten din offline til det er rettet.

Hvor stor andel av domenene bruker DNSSEC riktig? Bare 1.99% per 2026-06-29 — færre enn de 3.02% som har det signert, men ødelagt.

Hva er en CAA-post, og trenger jeg en? CAA begrenser hvilke sertifikatutstedere som kan utstede sertifikater for domenet ditt, og blokkerer en klasse feilutstedelse. Bare 1.56% av domenene setter en. Det er et billig tillegg med lav risiko.

Bør en liten bedrift prioritere DNSSEC? Vanligvis etter e-postautentisering og HTTPS. Gjør de først; legg til DNSSEC bare hvis du kan håndtere det riktig.

Sjekk domenets DNS-sikkerhet gratis

Se DNSSEC- og CAA-statusen din — og kontrollene som betyr mer — privat og kun for eier.

Sjekk domenet ditt → · Fiks DNSSEC → · Fiks CAA → · Hvordan vi graderer → · Kun aggregerte data. Data lagres og behandles i EU.