Defaults.Exposed

Defaults.Exposed › Relatórios

O Paradoxo do DNSSEC: São Mais os Domínios que o Quebram do que os que o Acertam (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo em 261 milhões de domínios avaliados. Veja como avaliamos.

O DNSSEC deveria tornar seu domínio mais difícil de sequestrar — mas é tão delicado que mais domínios o têm quebrado do que funcionando. Em 261 milhões de domínios, 3,02% têm DNSSEC assinado, porém quebrado, contra apenas 1,99% que o têm válido. Os 94,99% restantes nem sequer tentam. O DNS é a camada que a conversa sobre segurança esquece — e os números mostram isso.

O que os dados dizem

Estado do DNSSECProporção de domínios
Válido (assinado, funcionando)1,99%
Quebrado (assinado, mal configurado)3,02%
Não assinado de forma alguma94,99%

Mais domínios estão na linha quebrado do que na linha válido. Esse é o paradoxo: entre a pequena minoria que ativa o DNSSEC, a maioria erra.

Por que o DNSSEC quebrado é pior do que nenhum DNSSEC?

O DNSSEC não assinado simplesmente está desprotegido. O DNSSEC quebrado é ativamente perigoso: um resolvedor que valida se recusará a resolver um domínio cujas assinaturas não conferem, de modo que uma configuração incorreta pode deixar seu domínio completamente fora do ar para uma parte da internet — sem site, sem e-mail — até ser corrigido. O próprio recurso destinado a protegê-lo se torna uma indisponibilidade autoinfligida. Esse risco, somado à rotação de chaves e à transferência de registrador genuinamente complicadas, é o motivo pelo qual a adoção permanece perto do mínimo.

A lacuna mais ampla de segurança em DNS

O DNSSEC não é o único controle de DNS negligenciado. Os registros CAA — que restringem quem pode emitir certificados TLS para o seu domínio e bloqueiam silenciosamente uma classe de ataques de emissão indevida — estão presentes em apenas 1,56% dos domínios. O DNS é fundamental: se for sequestrado, qualquer outro controle posterior pode ser contornado. Ainda assim, é a camada que menos proprietários chegam a tocar.

Devo ativar o DNSSEC?

Para a maioria das pequenas empresas, a ordem de prioridade é primeiro autenticação de e-mail e HTTPS — esses detêm os ataques que você realmente enfrenta diariamente. O DNSSEC importa, mas só se feito corretamente: uma assinatura quebrada é pior do que nenhuma. Se você o ativar, use um provedor que gerencie a assinatura e a rotação de chaves para você, e verifique depois se ele valida de ponta a ponta. Veja corrigir DNSSEC e corrigir CAA.

Perguntas frequentes

O DNSSEC quebrado é realmente pior do que nenhum DNSSEC? Sim. Não ter DNSSEC significa apenas nenhuma proteção extra. O DNSSEC quebrado pode fazer seu domínio falhar ao resolver em redes que validam — deixando seu site e e-mail fora do ar até ser corrigido.

Que proporção de domínios usa o DNSSEC corretamente? Apenas 1,99% em 2026-06-29 — menos do que os 3,02% que o têm assinado, porém quebrado.

O que é um registro CAA e eu preciso de um? O CAA restringe quais autoridades de certificação podem emitir certificados para o seu domínio, bloqueando uma classe de emissão indevida. Apenas 1,56% dos domínios definem um. É uma adição barata e de baixo risco.

Uma pequena empresa deve priorizar o DNSSEC? Geralmente depois da autenticação de e-mail e do HTTPS. Faça esses primeiro; adicione o DNSSEC apenas se conseguir gerenciá-lo corretamente.

Verifique gratuitamente a segurança de DNS do seu domínio

Veja seu status de DNSSEC e CAA — e os controles que importam mais — de forma privada e exclusiva para o proprietário.

Verifique seu domínio → · Corrigir DNSSEC → · Corrigir CAA → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.