Defaults.Exposed › Rapoarte
Paradoxul DNSSEC: mai multe domenii îl configurează greșit decât corect (2026)
Publicat 2026-06-29
Cifre valabile la 2026-06-29 · metodologie v7. Date agregate de recensământ pentru 261 milioane de domenii evaluate. Vezi cum acordăm note.
DNSSEC ar trebui să facă domeniul tău mai greu de deturnat — dar este atât de complicat încât mai multe domenii îl au stricat decât funcțional. Dintre 261 milioane de domenii, 3.02% au DNSSEC semnat, dar stricat, față de doar 1.99% care îl au valid. Restul de 94.99% nici măcar nu încearcă. DNS este stratul pe care discuția despre securitate îl uită — iar cifrele o demonstrează.
Ce spun datele
| Stare DNSSEC | Procent din domenii |
|---|---|
| Valid (semnat, funcțional) | 1.99% |
| Stricat (semnat, configurat greșit) | 3.02% |
| Nesemnat deloc | 94.99% |
Mai multe domenii se află pe rândul stricat decât pe rândul valid. Acesta este paradoxul: dintre mica minoritate care activează DNSSEC, majoritatea îl configurează greșit.
De ce este DNSSEC stricat mai rău decât lipsa DNSSEC?
DNSSEC nesemnat este pur și simplu neprotejat. DNSSEC stricat este activ periculos: un resolver care validează va refuza să rezolve un domeniu ale cărui semnături nu se verifică, așa că o configurare greșită îți poate scoate domeniul complet offline pentru o parte a internetului — fără site, fără e-mail — până la remediere. Tocmai funcția menită să te protejeze devine o pană provocată de tine însuți. Acest risc, plus rotația cu adevărat complicată a cheilor și predarea către registrar, explică de ce adoptarea rămâne aproape de minim.
Decalajul mai larg al securității DNS
DNSSEC nu este singurul control DNS neglijat. Înregistrările CAA — care restricționează cine poate emite certificate TLS pentru domeniul tău și blochează discret o categorie de atacuri prin emitere greșită — sunt prezente pe doar 1.56% dintre domenii. DNS este fundamental: dacă este deturnat, orice alt control din aval poate fi ocolit. Și totuși este stratul de care cei mai puțini proprietari se ating vreodată.
Ar trebui să activez DNSSEC?
Pentru majoritatea firmelor mici, ordinea priorităților este mai întâi autentificarea e-mailului și HTTPS — acestea opresc atacurile cu care te confrunți efectiv zilnic. DNSSEC contează, dar numai făcut corect: o semnătură stricată este mai rea decât lipsa ei. Dacă îl activezi, folosește un furnizor care gestionează pentru tine semnarea și rotația cheilor și verifică apoi că validează cap la cap. Vezi repară DNSSEC și repară CAA.
Întrebări frecvente
Chiar este DNSSEC stricat mai rău decât lipsa DNSSEC? Da. Lipsa DNSSEC înseamnă doar absența unei protecții suplimentare. DNSSEC stricat poate face ca domeniul tău să nu se rezolve pentru rețelele care validează — scoțând site-ul și e-mailul offline până la remediere.
Ce procent din domenii folosesc DNSSEC corect? Doar 1.99% la 2026-06-29 — mai puține decât cele 3.02% care îl au semnat, dar stricat.
Ce este o înregistrare CAA și am nevoie de una? CAA restricționează ce autorități de certificare pot emite certificate pentru domeniul tău, blocând o categorie de emitere greșită. Doar 1.56% dintre domenii setează una. Este un adaos ieftin și cu risc scăzut.
Ar trebui o firmă mică să prioritizeze DNSSEC? De obicei după autentificarea e-mailului și HTTPS. Fă-le pe acestea mai întâi; adaugă DNSSEC doar dacă îl poți gestiona corect.
Verifică gratuit securitatea DNS a domeniului tău
Vezi starea DNSSEC și CAA — și controalele care contează mai mult — în mod privat și doar pentru proprietar.
Verifică-ți domeniul → · Repară DNSSEC → · Repară CAA → · Cum acordăm note → · Doar date agregate. Date stocate și procesate în UE.