Defaults.Exposed › Raporty
Czy obowiązkowy DNSSEC działa? Co pokazuje wdrożenie wymuszane przez rejestry (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen, według krajowej końcówki domeny (przybliżenie polityki rejestru, a nie lokalizacji firmy). „Napędzane przez rejestr” = rejestr danej końcówki aktywnie promuje DNSSEC poprzez zachęty lub wymogi — głównie zachęty dla rejestratorów, a nie nakazy prawne. „Ważny” = łańcuch DNSSEC, który się waliduje; „zepsuty” = podpisany, ale niepomyślnie przechodzący walidację. Zobacz jak oceniamy.
Czy zmuszanie rejestratorów do promowania DNSSEC faktycznie zwiększa adopcję? Tak — zdecydowanie — ale jest haczyk. Na końcówkach, których rejestry napędzają DNSSEC, 9,1% domen ma ważny podpis, w porównaniu z zaledwie 1,3% na końcówkach pozostawiających to właścicielom — czyli z grubsza 7× więcej. Polityka działa tam, gdzie dobrowolna adopcja stoi w miejscu. Haczyk: nawet u liderów więcej domen psuje DNSSEC, niż robi go poprawnie — więc presja rejestru rozwiązuje włączenie go, a nie zrobienie go poprawnie.
Czy promowanie DNSSEC podnosi adopcję?
Jednoznacznie. Napędzane przez rejestr krajowe końcówki skupiają się wokół 10–18% ważnego DNSSEC; końcówki o podejściu laissez-faire znajdują się blisko globalnego dna na poziomie 1,99%. Wyższy odsetek ważnych jest lepszy; odsetek zepsutych to koszt pomyłki. Na dzień 2026-06-29:
| Końcówka | Stanowisko rejestru | DNSSEC ważny | Zepsuty |
|---|---|---|---|
| .se (Szwecja) | Napędzany (zachęty dla rejestratorów) | 18,38% | 30,35% |
| .no (Norwegia) | Napędzany | 16,59% | 25,24% |
| .sk (Słowacja) | Napędzany | 16,61% | 25,59% |
| .cz (Czechy) | Napędzany (zachęty dla rejestratorów) | 14,62% | 26,28% |
| .nl (Holandia) | Napędzany (zachęty dla rejestratorów) | 11,86% | 22,98% |
| .fr (Francja) | Napędzany | 5,13% | 9,54% |
| .com | Laissez-faire | 1,62% | 2,44% |
| .de (Niemcy) | Laissez-faire | 0,92% | 1,60% |
| .uk (Wielka Brytania) | Laissez-faire | 1,06% | 1,72% |
Szwedzkie 18,38% to ponad dziesięciokrotność 1,62% domeny .com. Przepaść nie dotyczy technologii — wszędzie jest ten sam protokół — lecz tego, czy ktoś w łańcuchu miał powód, by go wdrożyć.
Haczyk: więcej zepsutego niż działającego
Oto niewygodna połowa. W każdej napędzanej przez rejestr końcówce powyżej wskaźnik zepsutych jest wyższy niż wskaźnik ważnych — Szwecja ma 30,35% zepsutych wobec 18,38% ważnych; Holandia 22,98% wobec 11,86%. W całości napędzanych końcówek jest to 15,7% zepsutych wobec 9,1% ważnych.
To ma znaczenie, ponieważ zepsuty DNSSEC nie jest nieszkodliwy: walidujący resolver odmówi rozwiązania domeny, której podpisy się nie zgadzają, więc błędna konfiguracja może wyłączyć domenę offline — witrynę i pocztę — dla części internetu. Napędzanie adopcji bez napędzania poprawności skaluje awarie wraz z ochroną. To ten sam problem wykonania, który cała sieć pokazuje w paradoksie DNSSEC, tyle że wzmocniony tam, gdzie próbuje go więcej domen.
Dlaczego polityka rejestru bije pozostawienie tego właścicielom
DNSSEC nie ma żadnego zdarzenia wymuszającego dla pojedynczego właściciela: nic się nie psuje ani nie ostrzega, jeśli go pominiesz, więc na końcówce o podejściu laissez-faire takiej jak .com adopcja w nieskończoność utrzymuje się płasko blisko 1,62%. Rejestry, które się z tego wyłamały, zrobiły to dzięki ekonomii, a nie nakazom — zazwyczaj zachętom dla rejestratorów (zniżki lub rabaty za podpisywanie stref) plus automatyzacji dostawcy, dzięki czemu rejestry nordyckie, czeski i holenderski podniosły całą swoją populację. To czysty eksperyment naturalny: ten sam protokół, ta sama trudność, bardzo różne wyniki — a różnicą jest polityka rejestru.
Nakaz czy zachęta — co naprawdę robi różnicę?
Głównie zachęta. Mimo „obowiązkowego” ujęcia, w jakim zwykle stawia się to pytanie, końcówki o wysokiej adopcji tutaj na ogół zachęcają do DNSSEC, zamiast wymagać go prawnie; twarde nakazy są rzadsze (niektóre rządy wymagają go dla domen sektora publicznego). Lekcja dla każdego rejestru: ukierunkowanie ekonomii rejestratorów i automatyzacji na podpisywanie działa — ale powinno iść w parze z zarządzanym podpisywaniem i rotacją kluczy, inaczej po prostu produkujesz więcej zepsutych stref.
Najczęściej zadawane pytania
Czy wymaganie lub zachęcanie do DNSSEC faktycznie zwiększa adopcję? Tak — około 7× w naszych danych: 9,1% ważnych na końcówkach napędzanych przez rejestr wobec 1,3% na końcówkach laissez-faire, na dzień 2026-06-29.
Który kraj lub TLD ma najwięcej DNSSEC?
Wśród dużych końcówek przoduje Szwecja (.se) z 18,38% ważnych — ponad dziesięciokrotnie więcej niż 1,62% domeny .com.
Jeśli adopcja jest wyższa, czy DNSSEC jest robiony poprawnie? Często nie. W każdej końcówce o wysokiej adopcji zepsuty DNSSEC przewyższa ważny (15,7% wobec 9,1% w całości napędzanych końcówek) — a zepsuty DNSSEC może wyłączyć domenę offline.
Czy mała firma powinna włączyć DNSSEC? Tylko jeśli jest poprawnie zarządzany — zepsuty podpis jest gorszy niż jego brak. Skorzystaj z dostawcy, który obsługuje podpisywanie i rotację kluczy, i sprawdź, że się waliduje. Zobacz jak naprawić DNSSEC.
Sprawdź DNS swojej domeny
Zobacz, czy Twój DNSSEC jest ważny, zepsuty czy nieobecny — oraz resztę swojej postawy — prywatnie i za darmo.
Sprawdź swoją domenę → · Paradoks DNSSEC → · Kto zarządza DNS internetu? → · Napraw DNSSEC → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.