Defaults.Exposed › Raporty
Czym jest DNSSEC — i czy naprawdę go potrzebujesz? (2026)
Opublikowano 2026-07-01
Dane na dzień 2026-06-29 · metodologia v7. Zbiorcze dane spisowe obejmujące 261 milionów ocenionych domen. DNSSEC dodaje do DNS podpisy kryptograficzne, dzięki czemu resolver może udowodnić, że odpowiedź naprawdę pochodzi od Ciebie i nie została zmanipulowana. Zobacz jak oceniamy.
DNSSEC opatruje każdą odpowiedź DNS dla Twojej domeny podpisem, dzięki czemu atakujący nie może po cichu podstawić fałszywej i przekierować Twoich odwiedzających gdzie indziej. To jeden z najsłabiej wdrażanych mechanizmów w sieci: zaledwie 1,99% z 261 milionów domen ma prawidłowy podpisany łańcuch. To także jeden z niewielu, gdzie zła konfiguracja jest gorsza niż jej brak — 3,02% domen jest podpisanych, ale wadliwie, co może uczynić je nieosiągalnymi. Oto, do czego służy i czy go potrzebujesz.
Przed czym DNSSEC faktycznie chroni
Zwykły DNS nie ma żadnego sposobu, aby udowodnić, że odpowiedź jest autentyczna. Otwiera to drzwi do zatruwania pamięci podręcznej (cache poisoning) oraz podszywania się pod DNS w ścieżce transmisji (on-path DNS spoofing) — atakujący podsuwa resolwerowi sfałszowany rekord i kieruje Twoich odwiedzających lub Twoją pocztę na swój serwer, bez żadnego ostrzeżenia o certyfikacie, które by go zdradziło. DNSSEC likwiduje tę lukę, podpisując rekordy tak, aby weryfikujący resolver odrzucał wszystko, co się nie zweryfikuje.
Czego nie robi: nie szyfruje DNS, nie zabezpiecza samej witryny i nie zastępuje HTTPS, DMARC ani CAA. To jedna warstwa — integralność odpowiedzi DNS.
Obraz wdrożenia
- 1,99% podpisane i prawidłowe.
- 3,02% podpisane, ale wadliwe — podpis, który nie przechodzi walidacji, co może wyłączyć domenę dla każdego, kto używa weryfikującego resolwera. To właśnie to ryzyko sprawia, że ludzie podchodzą do tego z ostrożnością.
- Tam, gdzie rejestr aktywnie go promuje, wdrożenie jest znacznie wyższe: końcówki krajowe napędzane polityką rejestru osiągają 9,1% prawidłowych podpisów, wobec 1,3% w pozostałych końcówkach krajowych. Wdrożenie to dźwignia polityki, a nie ograniczenie techniczne. Zobacz czy obowiązkowy DNSSEC działa oraz paradoks DNSSEC.
W podziale według końcówki domeny prawidłowy DNSSEC waha się w szerokim zakresie: 18,38% dla .se, 11,86% dla .nl, 14,62% dla .cz — wobec zaledwie 1,62% dla .com.
Czy go potrzebujesz?
- Domeny o wysokiej wartości lub będące celem ataków — banki, administracja publiczna, infrastruktura, wszystko, gdzie przekierowanie użytkowników lub poczty jest poważnym łupem — zyskują najwięcej.
- Organizacje kierujące się zgodnością (compliance) — DNSSEC coraz częściej pojawia się w ankietach bezpieczeństwa i niektórych regulacjach branżowych.
- Wszyscy pozostali — to rozsądny krok wzmacniający zabezpieczenia, jeśli Twój dostawca DNS udostępnia go jednym kliknięciem i zarządza za Ciebie rotacją kluczy. Jeśli włączenie oznacza ręczne zarządzanie kluczami, w którym możesz popełnić błąd, ryzyko wadliwego podpisu jest realne — rób to tam, gdzie jest zautomatyzowane.
Jak bezpiecznie go włączyć
- Skorzystaj z dostawcy DNS, który automatyzuje DNSSEC — podpisywanie i rotacja kluczy obsługiwane za Ciebie (większość dużych dostawców robi to teraz jednym kliknięciem). Zobacz napraw DNSSEC.
- Włącz podpisywanie, a następnie opublikuj rekord DS u swojego rejestratora, aby domknąć łańcuch zaufania.
- Zweryfikuj, że łańcuch się rozwiązuje, zanim odejdziesz — domena podpisana, ale wadliwa, jest gorsza niż niepodpisana.
- Nigdy nie zarządzaj kluczami ręcznie, chyba że masz narzędzia do ich niezawodnej rotacji.
Najczęściej zadawane pytania
Czym jest DNSSEC w prostych słowach? To zestaw podpisów cyfrowych na Twoich rekordach DNS, dzięki którym resolwery mogą udowodnić, że odpowiedź jest autentyczna i nie została sfałszowana w tranzycie.
Czy naprawdę potrzebuję DNSSEC? Jest najbardziej wartościowy dla domen będących częstym celem ataków oraz tam, gdzie wymaga tego zgodność. Dla wszystkich pozostałych to dobry krok wzmacniający zabezpieczenia, jeśli Twój dostawca DNS go automatyzuje — głównym ryzykiem jest błędna konfiguracja, którą obecnie ma 3,02% domen.
Czy DNSSEC szyfruje mój DNS? Nie. Dowodzi integralności (odpowiedź jest autentyczna), ale nie ukrywa zapytania. To inna technologia (DoH/DoT).
Czy DNSSEC może zepsuć moją witrynę? Wadliwy lub wygasły podpis może sprawić, że Twoja domena stanie się nierozwiązywalna dla każdego, kto używa weryfikującego resolwera. Dlatego zautomatyzowane podpisywanie i rotacja kluczy mają znaczenie.
Czy DNSSEC jest darmowy? Tak, u większości nowoczesnych dostawców DNS — to ustawienie, a nie zakup.
Sprawdź DNSSEC swojej domeny za darmo
Sprawdź, czy Twoja domena jest podpisana, prawidłowa i poprawnie połączona w łańcuch — prywatnie i wyłącznie dla właściciela.
Sprawdź swoją domenę → · Napraw DNSSEC → · Czy obowiązkowy DNSSEC działa? → · Jak oceniamy → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.