Defaults.Exposed › Raporty
Galeria sław błędnych konfiguracji: najdziwniejsze rekordy bezpieczeństwa w sieci (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisu obejmujące 261 milionów ocenionych domen. Każda liczba poniżej to rzeczywisty, powtarzający się wzorzec — nie jednorazowy przypadek. Zobacz jak oceniamy.
Większość błędów bezpieczeństwa jest nudna: ustawienie pozostawione wyłączone. Kilka jest naprawdę zabawnych — cyfrowy odpowiednik oddania budynku z tabliczką „WSTAW NAZWĘ NAJEMCY” wciąż w oknie. Oceniliśmy 261 milionów domen; oto rekordy, na które spojrzeliśmy dwa razy.
1. Certyfikat, którego nikt nie zmienił nazwy
Gdy generujesz certyfikat TLS przy domyślnych monitach OpenSSL i po prostu naciskasz Enter, nazwa organizacji staje się symbolem zastępczym. Te symbole zastępcze powinny zostać zastąpione przed uruchomieniem. Nie zostały:
| Nazwa „Wystawiony przez” na działającym certyfikacie | Witryny |
|---|---|
| Internet Widgits Pty Ltd | 244 468 |
| MyCompany Inc. | 226 830 |
| TRAEFIK DEFAULT CERT | 108 348 |
| localhost | 106 086 |
„Internet Widgits Pty Ltd” to dosłowna wartość domyślna w przykładowej konfiguracji OpenSSL — a 244 468 publicznych witryn serwuje certyfikat opatrzony tym wpisem. Wśród wszystkich oczywistych nazw zastępczych i domyślnych 685 732 witryn nigdy nie zmieniło tabliczki. Każda z nich jest też samopodpisana, więc odwiedzający otrzymują ostrzeżenie przeglądarki — serwują symbol zastępczy i błąd.
2. DMARC zagubiony w tłumaczeniu
Polityka DMARC działa tylko wtedy, gdy brzmi dokładnie p=none, p=quarantine lub p=reject. 48 648 domen opublikowało coś innego — słowo polityki z literówką lub zapisane całkowicie w innym języku (dane na żywo zawierają hiszpańskie, francuskie i portugalskie wersje słowa „none”). Intencja była słuszna; dokładna pisownia nie — a DMARC akceptuje wyłącznie angielskie słowo kluczowe, więc wszystkie one zapewniają zerową ochronę. (Pełna, aktualna lista z liczbami: najczęstsze literówki DMARC w internecie.)
3. Wycieraczka powitalna SPF
Całym zadaniem SPF jest określenie, które serwery mogą wysyłać pocztę w twoim imieniu. 36 014 domen kończy swój rekord na +all — co oznacza dokładnie coś przeciwnego: „każdy serwer w internecie jest upoważniony do wysyłania w moim imieniu.” To odpowiednik w dziedzinie bezpieczeństwa przyklejenia klucza do drzwi taśmą. Kolejne 7958 po cichu psują swój SPF, przekraczając limit 10 zapytań DNS, całkowicie go unieważniając. (Więcej: raport o błędnej konfiguracji SPF.)
4. Wyróżnienie: miliony samopodpisanych
Poza zabawnymi nazwami, 3 378 080 witryn serwuje samopodpisany certyfikat — taki, który wystawiły same sobie, a który przeglądarki odrzucają. Zwykle jest to router, maszyna testowa lub wewnętrzne narzędzie, które przypadkowo zostało skierowane do publicznego internetu i nigdy nie otrzymało prawdziwego certyfikatu.
Co łączy te zabawne przypadki
Każdy wpis tutaj ma tę samą pierwotną przyczynę co nudne błędy: nietknięta wartość domyślna, pominięty krok, niedokończone kopiowanie i wklejanie. Sieć nie zawodzi dramatycznie — zawodzi z bezwładności, jeden niezmieniony symbol zastępczy na raz. Dobra wiadomość: każdy z nich to naprawa na pięć minut.
Najczęściej zadawane pytania
Dlaczego tak wiele certyfikatów podaje „Internet Widgits Pty Ltd”? To domyślna nazwa organizacji w przykładowej konfiguracji OpenSSL. Gdy ktoś generuje certyfikat i akceptuje wartości domyślne, ten symbol zastępczy trafia na działający certyfikat. 244 468 publicznych witryn nigdy go nie zmieniło.
Czy polityka DMARC w innym języku coś robi?
Nie. DMARC rozpoznaje tylko dokładne słowa kluczowe none, quarantine i reject. Rekord ze słowem polityki zapisanym z literówką lub w innym języku jest nieprawidłowy i ignorowany — domena pozostaje podatna na podszywanie.
Co robi SPF +all? Upoważnia każdy serwer w internecie do wysyłania poczty w imieniu twojej domeny — gorzej niż brak SPF w ogóle. 36 014 domen ma to ustawienie, prawie zawsze przez pomyłkę.
Czy to rzadkie przypadki skrajne? Nie — każdy obejmuje od setek tysięcy do milionów domen, konsekwentnie znajdowanych w spisie 261 milionów domen. To powszechne wartości domyślne, a nie dziwaczne wypadki.
Sprawdź, czy twoja domena nie znajdzie się w następnym wydaniu
Większość z nich to poprawki na jedną linijkę. Sprawdź swoją domenę prywatnie i za darmo — zobacz swój certyfikat, DMARC i SPF dokładnie tak, jak widzi je internet.
Sprawdź swoją domenę → · Literówki DMARC → · Raport o błędnej konfiguracji SPF → · Raport o błędach certyfikatów → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.