Defaults.Exposed › Raporty
Paradoks DNSSEC: więcej domen go psuje, niż konfiguruje poprawnie (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisu z 261 milionów ocenionych domen. Zobacz jak oceniamy.
DNSSEC ma utrudnić przejęcie Twojej domeny — ale jest tak kapryśny, że więcej domen ma go zepsutego niż działającego. Na 261 milionach domen 3,02% ma DNSSEC podpisany, lecz zepsuty, wobec zaledwie 1,99%, które mają go prawidłowy. Pozostałe 94,99% nawet nie próbuje. DNS to warstwa, o której zapomina rozmowa o bezpieczeństwie — i liczby to pokazują.
Co mówią dane
| Stan DNSSEC | Udział domen |
|---|---|
| Prawidłowy (podpisany, działający) | 1,99% |
| Zepsuty (podpisany, błędnie skonfigurowany) | 3,02% |
| W ogóle niepodpisany | 94,99% |
W wierszu zepsuty znajduje się więcej domen niż w wierszu prawidłowy. Na tym polega paradoks: wśród niewielkiej mniejszości, która włącza DNSSEC, większość robi to źle.
Dlaczego zepsuty DNSSEC jest gorszy niż brak DNSSEC?
Niepodpisany DNSSEC jest po prostu niezabezpieczony. Zepsuty DNSSEC jest aktywnie niebezpieczny: walidujący resolver odmówi rozwiązania domeny, której podpisy się nie zgadzają, więc błędna konfiguracja może wyłączyć Twoją domenę całkowicie offline dla części internetu — bez witryny, bez poczty — dopóki nie zostanie naprawiona. Sama funkcja mająca Cię chronić staje się samodzielnie spowodowaną awarią. To ryzyko, w połączeniu z naprawdę trudną rotacją kluczy i przekazaniem między rejestratorami, sprawia, że poziom adopcji pozostaje bliski dna.
Szersza luka w bezpieczeństwie DNS
DNSSEC nie jest jedyną zaniedbaną kontrolą DNS. Rekordy CAA — które ograniczają, kto może wystawiać certyfikaty TLS dla Twojej domeny i po cichu blokują klasę ataków polegających na błędnym wystawieniu — występują zaledwie na 1,56% domen. DNS jest fundamentalny: jeśli zostanie przejęty, każdą inną kontrolę niżej można ominąć. A mimo to jest to warstwa, której właściciele dotykają najrzadziej.
Czy powinienem włączyć DNSSEC?
Dla większości małych firm kolejność priorytetów to najpierw uwierzytelnianie poczty i HTTPS — to one zatrzymują ataki, z którymi faktycznie mierzysz się codziennie. DNSSEC ma znaczenie, ale tylko zrobiony poprawnie: zepsuty podpis jest gorszy niż żaden. Jeśli go włączasz, użyj dostawcy, który zarządza podpisywaniem i rotacją kluczy za Ciebie, a następnie sprawdź, że waliduje od początku do końca. Zobacz napraw DNSSEC i napraw CAA.
Najczęściej zadawane pytania
Czy zepsuty DNSSEC jest naprawdę gorszy niż brak DNSSEC? Tak. Brak DNSSEC oznacza po prostu brak dodatkowej ochrony. Zepsuty DNSSEC może sprawić, że Twoja domena nie rozwiąże się w sieciach walidujących — wyłączając Twoją witrynę i pocztę, dopóki nie zostanie naprawiona.
Jaki odsetek domen używa DNSSEC poprawnie? Tylko 1,99% na dzień 2026-06-29 — mniej niż 3,02%, które mają go podpisanego, lecz zepsutego.
Czym jest rekord CAA i czy go potrzebuję? CAA ogranicza, które urzędy certyfikacji mogą wystawiać certyfikaty dla Twojej domeny, blokując klasę błędnego wystawienia. Tylko 1,56% domen go ustawia. To tani dodatek o niskim ryzyku.
Czy mała firma powinna priorytetowo traktować DNSSEC? Zwykle po uwierzytelnianiu poczty i HTTPS. Zrób je najpierw; dodaj DNSSEC tylko wtedy, gdy potrafisz nim poprawnie zarządzać.
Sprawdź bezpieczeństwo DNS swojej domeny za darmo
Zobacz swój status DNSSEC i CAA — oraz kontrole, które mają większe znaczenie — prywatnie i tylko dla właściciela.
Sprawdź swoją domenę → · Napraw DNSSEC → · Napraw CAA → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.