Defaults.Exposed › Relatórios
O Hall da Fama das Más Configurações: Os Registos de Segurança Mais Insólitos da Web (2026)
Publicado 2026-06-29
Números em 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios avaliados. Cada número abaixo é um padrão real e recorrente — não um caso isolado. Veja como avaliamos.
A maioria das falhas de segurança é entediante: uma configuração deixada desativada. Algumas são genuinamente engraçadas — o equivalente digital a entregar o edifício com a placa “INSIRA O NOME DO INQUILINO” ainda na janela. Avaliamos 261 milhões de domínios; aqui estão os recordes que nos fizeram olhar duas vezes.
1. O certificado que ninguém renomeou
Quando você gera um certificado TLS com os prompts padrão do OpenSSL e simplesmente pressiona Enter, o nome da organização torna-se um espaço reservado. Esses espaços reservados deveriam ser substituídos antes de entrar no ar. Mas não foram:
| Nome de “Emitido por” no certificado em produção | Sites |
|---|---|
| Internet Widgits Pty Ltd | 244.468 |
| MyCompany Inc. | 226.830 |
| TRAEFIK DEFAULT CERT | 108.348 |
| localhost | 106.086 |
“Internet Widgits Pty Ltd” é o valor padrão literal na configuração de exemplo do OpenSSL — e 244.468 sites públicos estão servindo um certificado carimbado com ele. Em todos os nomes óbvios de espaço reservado e padrão, 685.732 sites nunca mudaram a placa. Cada um deles também é autoassinado, então os visitantes recebem um aviso do navegador — eles estão servindo o espaço reservado e o erro.
2. DMARC, perdido na tradução
Uma política DMARC só funciona se ela disser exatamente p=none, p=quarantine ou p=reject. 48.648 domínios publicaram outra coisa — a palavra da política escrita errada, ou redigida inteiramente em outro idioma (os dados ao vivo incluem versões em espanhol, francês e português de “none”). A intenção estava certa; a grafia exata não — e o DMARC aceita apenas a palavra-chave em inglês, então todos eles fornecem proteção zero. (Lista completa e atual com contagens: os erros de digitação de DMARC mais comuns da internet.)
3. O tapete de boas-vindas do SPF
A única função do SPF é dizer quais servidores podem enviar e-mail em seu nome. 36.014 domínios terminam seu registro com +all — o que significa exatamente o oposto: “qualquer servidor na internet está autorizado a enviar em meu nome.” É o equivalente em segurança a colar sua chave na porta. Outros 7.958 quebram silenciosamente seu SPF ao exceder o limite de 10 consultas DNS, anulando-o por completo. (Mais: o relatório de configuração incorreta de SPF.)
4. Menção honrosa: os milhões autoassinados
Além dos nomes engraçados, 3.378.080 sites servem um certificado autoassinado — um que eles emitiram para si mesmos, e que os navegadores rejeitam. Geralmente um roteador, uma máquina de teste ou uma ferramenta interna que acidentalmente foi apontada para a internet pública e nunca recebeu um certificado real.
O que os engraçados têm em comum
Cada entrada aqui tem a mesma causa raiz que as falhas entediantes: um padrão não tocado, uma etapa pulada, um copiar e colar não concluído. A web não falha dramaticamente — ela falha por inércia, um espaço reservado não renomeado de cada vez. O lado bom: cada um destes é uma correção de cinco minutos.
Perguntas frequentes
Por que tantos certificados dizem “Internet Widgits Pty Ltd”? É o nome de organização padrão na configuração de exemplo do OpenSSL. Quando alguém gera um certificado e aceita os padrões, esse espaço reservado acaba no certificado em produção. 244.468 sites públicos nunca o mudaram.
Uma política DMARC em outro idioma faz alguma coisa?
Não. O DMARC reconhece apenas as palavras-chave exatas none, quarantine e reject. Um registro com a palavra da política escrita errada ou redigida em outro idioma é inválido e ignorado — o domínio continua passível de falsificação.
O que o SPF +all faz? Ele autoriza todos os servidores da internet a enviar e-mail em nome do seu domínio — pior do que não ter SPF nenhum. 36.014 domínios o têm, quase sempre por engano.
São casos raros e excepcionais? Não — cada um corresponde a centenas de milhares a milhões de domínios, encontrados de forma consistente em um censo de 261 milhões de domínios. São padrões comuns, não acidentes raros.
Verifique se o seu domínio não estará na próxima edição
A maioria destes são correções de uma linha. Verifique o seu domínio de forma privada e gratuita — veja o seu certificado, DMARC e SPF exatamente como a internet os vê.
Verifique o seu domínio → · Erros de digitação de DMARC → · Relatório de configuração incorreta de SPF → · O relatório de erros de certificado → · Apenas dados agregados. Dados armazenados e processados na UE.