Defaults.Exposed

Defaults.Exposed › Raporty

Galeria sław błędnych konfiguracji: najdziwniejsze rekordy bezpieczeństwa w sieci (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisu obejmujące 261 milionów ocenionych domen. Każda liczba poniżej to rzeczywisty, powtarzający się wzorzec — nie jednorazowy przypadek. Zobacz jak oceniamy.

Większość błędów bezpieczeństwa jest nudna: ustawienie pozostawione wyłączone. Kilka jest naprawdę zabawnych — cyfrowy odpowiednik oddania budynku z tabliczką „WSTAW NAZWĘ NAJEMCY” wciąż w oknie. Oceniliśmy 261 milionów domen; oto rekordy, na które spojrzeliśmy dwa razy.

1. Certyfikat, którego nikt nie zmienił nazwy

Gdy generujesz certyfikat TLS przy domyślnych monitach OpenSSL i po prostu naciskasz Enter, nazwa organizacji staje się symbolem zastępczym. Te symbole zastępcze powinny zostać zastąpione przed uruchomieniem. Nie zostały:

Nazwa „Wystawiony przez” na działającym certyfikacieWitryny
Internet Widgits Pty Ltd244 468
MyCompany Inc.226 830
TRAEFIK DEFAULT CERT108 348
localhost106 086

„Internet Widgits Pty Ltd” to dosłowna wartość domyślna w przykładowej konfiguracji OpenSSL — a 244 468 publicznych witryn serwuje certyfikat opatrzony tym wpisem. Wśród wszystkich oczywistych nazw zastępczych i domyślnych 685 732 witryn nigdy nie zmieniło tabliczki. Każda z nich jest też samopodpisana, więc odwiedzający otrzymują ostrzeżenie przeglądarki — serwują symbol zastępczy i błąd.

2. DMARC zagubiony w tłumaczeniu

Polityka DMARC działa tylko wtedy, gdy brzmi dokładnie p=none, p=quarantine lub p=reject. 48 648 domen opublikowało coś innego — słowo polityki z literówką lub zapisane całkowicie w innym języku (dane na żywo zawierają hiszpańskie, francuskie i portugalskie wersje słowa „none”). Intencja była słuszna; dokładna pisownia nie — a DMARC akceptuje wyłącznie angielskie słowo kluczowe, więc wszystkie one zapewniają zerową ochronę. (Pełna, aktualna lista z liczbami: najczęstsze literówki DMARC w internecie.)

3. Wycieraczka powitalna SPF

Całym zadaniem SPF jest określenie, które serwery mogą wysyłać pocztę w twoim imieniu. 36 014 domen kończy swój rekord na +all — co oznacza dokładnie coś przeciwnego: „każdy serwer w internecie jest upoważniony do wysyłania w moim imieniu.” To odpowiednik w dziedzinie bezpieczeństwa przyklejenia klucza do drzwi taśmą. Kolejne 7958 po cichu psują swój SPF, przekraczając limit 10 zapytań DNS, całkowicie go unieważniając. (Więcej: raport o błędnej konfiguracji SPF.)

4. Wyróżnienie: miliony samopodpisanych

Poza zabawnymi nazwami, 3 378 080 witryn serwuje samopodpisany certyfikat — taki, który wystawiły same sobie, a który przeglądarki odrzucają. Zwykle jest to router, maszyna testowa lub wewnętrzne narzędzie, które przypadkowo zostało skierowane do publicznego internetu i nigdy nie otrzymało prawdziwego certyfikatu.

Co łączy te zabawne przypadki

Każdy wpis tutaj ma tę samą pierwotną przyczynę co nudne błędy: nietknięta wartość domyślna, pominięty krok, niedokończone kopiowanie i wklejanie. Sieć nie zawodzi dramatycznie — zawodzi z bezwładności, jeden niezmieniony symbol zastępczy na raz. Dobra wiadomość: każdy z nich to naprawa na pięć minut.

Najczęściej zadawane pytania

Dlaczego tak wiele certyfikatów podaje „Internet Widgits Pty Ltd”? To domyślna nazwa organizacji w przykładowej konfiguracji OpenSSL. Gdy ktoś generuje certyfikat i akceptuje wartości domyślne, ten symbol zastępczy trafia na działający certyfikat. 244 468 publicznych witryn nigdy go nie zmieniło.

Czy polityka DMARC w innym języku coś robi? Nie. DMARC rozpoznaje tylko dokładne słowa kluczowe none, quarantine i reject. Rekord ze słowem polityki zapisanym z literówką lub w innym języku jest nieprawidłowy i ignorowany — domena pozostaje podatna na podszywanie.

Co robi SPF +all? Upoważnia każdy serwer w internecie do wysyłania poczty w imieniu twojej domeny — gorzej niż brak SPF w ogóle. 36 014 domen ma to ustawienie, prawie zawsze przez pomyłkę.

Czy to rzadkie przypadki skrajne? Nie — każdy obejmuje od setek tysięcy do milionów domen, konsekwentnie znajdowanych w spisie 261 milionów domen. To powszechne wartości domyślne, a nie dziwaczne wypadki.

Sprawdź, czy twoja domena nie znajdzie się w następnym wydaniu

Większość z nich to poprawki na jedną linijkę. Sprawdź swoją domenę prywatnie i za darmo — zobacz swój certyfikat, DMARC i SPF dokładnie tak, jak widzi je internet.

Sprawdź swoją domenę → · Literówki DMARC → · Raport o błędnej konfiguracji SPF → · Raport o błędach certyfikatów → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.