Defaults.Exposed

Defaults.Exposed › Relatórios

O Hall da Fama das Más Configurações: Os Registos de Segurança Mais Insólitos da Web (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios avaliados. Cada número abaixo é um padrão real e recorrente — não um caso isolado. Veja como avaliamos.

A maioria das falhas de segurança é entediante: uma configuração deixada desativada. Algumas são genuinamente engraçadas — o equivalente digital a entregar o edifício com a placa “INSIRA O NOME DO INQUILINO” ainda na janela. Avaliamos 261 milhões de domínios; aqui estão os recordes que nos fizeram olhar duas vezes.

1. O certificado que ninguém renomeou

Quando você gera um certificado TLS com os prompts padrão do OpenSSL e simplesmente pressiona Enter, o nome da organização torna-se um espaço reservado. Esses espaços reservados deveriam ser substituídos antes de entrar no ar. Mas não foram:

Nome de “Emitido por” no certificado em produçãoSites
Internet Widgits Pty Ltd244.468
MyCompany Inc.226.830
TRAEFIK DEFAULT CERT108.348
localhost106.086

“Internet Widgits Pty Ltd” é o valor padrão literal na configuração de exemplo do OpenSSL — e 244.468 sites públicos estão servindo um certificado carimbado com ele. Em todos os nomes óbvios de espaço reservado e padrão, 685.732 sites nunca mudaram a placa. Cada um deles também é autoassinado, então os visitantes recebem um aviso do navegador — eles estão servindo o espaço reservado e o erro.

2. DMARC, perdido na tradução

Uma política DMARC só funciona se ela disser exatamente p=none, p=quarantine ou p=reject. 48.648 domínios publicaram outra coisa — a palavra da política escrita errada, ou redigida inteiramente em outro idioma (os dados ao vivo incluem versões em espanhol, francês e português de “none”). A intenção estava certa; a grafia exata não — e o DMARC aceita apenas a palavra-chave em inglês, então todos eles fornecem proteção zero. (Lista completa e atual com contagens: os erros de digitação de DMARC mais comuns da internet.)

3. O tapete de boas-vindas do SPF

A única função do SPF é dizer quais servidores podem enviar e-mail em seu nome. 36.014 domínios terminam seu registro com +all — o que significa exatamente o oposto: “qualquer servidor na internet está autorizado a enviar em meu nome.” É o equivalente em segurança a colar sua chave na porta. Outros 7.958 quebram silenciosamente seu SPF ao exceder o limite de 10 consultas DNS, anulando-o por completo. (Mais: o relatório de configuração incorreta de SPF.)

4. Menção honrosa: os milhões autoassinados

Além dos nomes engraçados, 3.378.080 sites servem um certificado autoassinado — um que eles emitiram para si mesmos, e que os navegadores rejeitam. Geralmente um roteador, uma máquina de teste ou uma ferramenta interna que acidentalmente foi apontada para a internet pública e nunca recebeu um certificado real.

O que os engraçados têm em comum

Cada entrada aqui tem a mesma causa raiz que as falhas entediantes: um padrão não tocado, uma etapa pulada, um copiar e colar não concluído. A web não falha dramaticamente — ela falha por inércia, um espaço reservado não renomeado de cada vez. O lado bom: cada um destes é uma correção de cinco minutos.

Perguntas frequentes

Por que tantos certificados dizem “Internet Widgits Pty Ltd”? É o nome de organização padrão na configuração de exemplo do OpenSSL. Quando alguém gera um certificado e aceita os padrões, esse espaço reservado acaba no certificado em produção. 244.468 sites públicos nunca o mudaram.

Uma política DMARC em outro idioma faz alguma coisa? Não. O DMARC reconhece apenas as palavras-chave exatas none, quarantine e reject. Um registro com a palavra da política escrita errada ou redigida em outro idioma é inválido e ignorado — o domínio continua passível de falsificação.

O que o SPF +all faz? Ele autoriza todos os servidores da internet a enviar e-mail em nome do seu domínio — pior do que não ter SPF nenhum. 36.014 domínios o têm, quase sempre por engano.

São casos raros e excepcionais? Não — cada um corresponde a centenas de milhares a milhões de domínios, encontrados de forma consistente em um censo de 261 milhões de domínios. São padrões comuns, não acidentes raros.

Verifique se o seu domínio não estará na próxima edição

A maioria destes são correções de uma linha. Verifique o seu domínio de forma privada e gratuita — veja o seu certificado, DMARC e SPF exatamente como a internet os vê.

Verifique o seu domínio → · Erros de digitação de DMARC → · Relatório de configuração incorreta de SPF → · O relatório de erros de certificado → · Apenas dados agregados. Dados armazenados e processados na UE.