Defaults.Exposed

Defaults.Exposed › Raporty

Czy obowiązkowy DNSSEC działa? Co pokazuje wdrożenie wymuszane przez rejestry (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen, według krajowej końcówki domeny (przybliżenie polityki rejestru, a nie lokalizacji firmy). „Napędzane przez rejestr” = rejestr danej końcówki aktywnie promuje DNSSEC poprzez zachęty lub wymogi — głównie zachęty dla rejestratorów, a nie nakazy prawne. „Ważny” = łańcuch DNSSEC, który się waliduje; „zepsuty” = podpisany, ale niepomyślnie przechodzący walidację. Zobacz jak oceniamy.

Czy zmuszanie rejestratorów do promowania DNSSEC faktycznie zwiększa adopcję? Tak — zdecydowanie — ale jest haczyk. Na końcówkach, których rejestry napędzają DNSSEC, 9,1% domen ma ważny podpis, w porównaniu z zaledwie 1,3% na końcówkach pozostawiających to właścicielom — czyli z grubsza 7× więcej. Polityka działa tam, gdzie dobrowolna adopcja stoi w miejscu. Haczyk: nawet u liderów więcej domen psuje DNSSEC, niż robi go poprawnie — więc presja rejestru rozwiązuje włączenie go, a nie zrobienie go poprawnie.

Czy promowanie DNSSEC podnosi adopcję?

Jednoznacznie. Napędzane przez rejestr krajowe końcówki skupiają się wokół 10–18% ważnego DNSSEC; końcówki o podejściu laissez-faire znajdują się blisko globalnego dna na poziomie 1,99%. Wyższy odsetek ważnych jest lepszy; odsetek zepsutych to koszt pomyłki. Na dzień 2026-06-29:

KońcówkaStanowisko rejestruDNSSEC ważnyZepsuty
.se (Szwecja)Napędzany (zachęty dla rejestratorów)18,38%30,35%
.no (Norwegia)Napędzany16,59%25,24%
.sk (Słowacja)Napędzany16,61%25,59%
.cz (Czechy)Napędzany (zachęty dla rejestratorów)14,62%26,28%
.nl (Holandia)Napędzany (zachęty dla rejestratorów)11,86%22,98%
.fr (Francja)Napędzany5,13%9,54%
.comLaissez-faire1,62%2,44%
.de (Niemcy)Laissez-faire0,92%1,60%
.uk (Wielka Brytania)Laissez-faire1,06%1,72%

Szwedzkie 18,38% to ponad dziesięciokrotność 1,62% domeny .com. Przepaść nie dotyczy technologii — wszędzie jest ten sam protokół — lecz tego, czy ktoś w łańcuchu miał powód, by go wdrożyć.

Haczyk: więcej zepsutego niż działającego

Oto niewygodna połowa. W każdej napędzanej przez rejestr końcówce powyżej wskaźnik zepsutych jest wyższy niż wskaźnik ważnych — Szwecja ma 30,35% zepsutych wobec 18,38% ważnych; Holandia 22,98% wobec 11,86%. W całości napędzanych końcówek jest to 15,7% zepsutych wobec 9,1% ważnych.

To ma znaczenie, ponieważ zepsuty DNSSEC nie jest nieszkodliwy: walidujący resolver odmówi rozwiązania domeny, której podpisy się nie zgadzają, więc błędna konfiguracja może wyłączyć domenę offline — witrynę i pocztę — dla części internetu. Napędzanie adopcji bez napędzania poprawności skaluje awarie wraz z ochroną. To ten sam problem wykonania, który cała sieć pokazuje w paradoksie DNSSEC, tyle że wzmocniony tam, gdzie próbuje go więcej domen.

Dlaczego polityka rejestru bije pozostawienie tego właścicielom

DNSSEC nie ma żadnego zdarzenia wymuszającego dla pojedynczego właściciela: nic się nie psuje ani nie ostrzega, jeśli go pominiesz, więc na końcówce o podejściu laissez-faire takiej jak .com adopcja w nieskończoność utrzymuje się płasko blisko 1,62%. Rejestry, które się z tego wyłamały, zrobiły to dzięki ekonomii, a nie nakazom — zazwyczaj zachętom dla rejestratorów (zniżki lub rabaty za podpisywanie stref) plus automatyzacji dostawcy, dzięki czemu rejestry nordyckie, czeski i holenderski podniosły całą swoją populację. To czysty eksperyment naturalny: ten sam protokół, ta sama trudność, bardzo różne wyniki — a różnicą jest polityka rejestru.

Nakaz czy zachęta — co naprawdę robi różnicę?

Głównie zachęta. Mimo „obowiązkowego” ujęcia, w jakim zwykle stawia się to pytanie, końcówki o wysokiej adopcji tutaj na ogół zachęcają do DNSSEC, zamiast wymagać go prawnie; twarde nakazy są rzadsze (niektóre rządy wymagają go dla domen sektora publicznego). Lekcja dla każdego rejestru: ukierunkowanie ekonomii rejestratorów i automatyzacji na podpisywanie działa — ale powinno iść w parze z zarządzanym podpisywaniem i rotacją kluczy, inaczej po prostu produkujesz więcej zepsutych stref.

Najczęściej zadawane pytania

Czy wymaganie lub zachęcanie do DNSSEC faktycznie zwiększa adopcję? Tak — około 7× w naszych danych: 9,1% ważnych na końcówkach napędzanych przez rejestr wobec 1,3% na końcówkach laissez-faire, na dzień 2026-06-29.

Który kraj lub TLD ma najwięcej DNSSEC? Wśród dużych końcówek przoduje Szwecja (.se) z 18,38% ważnych — ponad dziesięciokrotnie więcej niż 1,62% domeny .com.

Jeśli adopcja jest wyższa, czy DNSSEC jest robiony poprawnie? Często nie. W każdej końcówce o wysokiej adopcji zepsuty DNSSEC przewyższa ważny (15,7% wobec 9,1% w całości napędzanych końcówek) — a zepsuty DNSSEC może wyłączyć domenę offline.

Czy mała firma powinna włączyć DNSSEC? Tylko jeśli jest poprawnie zarządzany — zepsuty podpis jest gorszy niż jego brak. Skorzystaj z dostawcy, który obsługuje podpisywanie i rotację kluczy, i sprawdź, że się waliduje. Zobacz jak naprawić DNSSEC.

Sprawdź DNS swojej domeny

Zobacz, czy Twój DNSSEC jest ważny, zepsuty czy nieobecny — oraz resztę swojej postawy — prywatnie i za darmo.

Sprawdź swoją domenę → · Paradoks DNSSEC → · Kto zarządza DNS internetu? → · Napraw DNSSEC → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.