Defaults.Exposed

Defaults.Exposed › Rapoarte

Ce este DNSSEC — și chiar aveți nevoie de el? (2026)

Publicat 2026-07-01

Cifre valabile la 2026-06-29 · metodologie v7. Date agregate de recensământ pe 261 milioane de domenii evaluate. DNSSEC adaugă semnături criptografice la DNS, astfel încât un resolver să poată dovedi că un răspuns a venit cu adevărat de la dumneavoastră și nu a fost modificat. Vedeți cum evaluăm.

DNSSEC marchează fiecare răspuns DNS pentru domeniul dumneavoastră cu o semnătură, astfel încât un atacator să nu poată strecura pe furiș unul fals și să vă trimită vizitatorii altundeva. Este unul dintre cele mai puțin adoptate controale de pe web: doar 1.99% dintre cele 261 milioane de domenii au un lanț semnat valid. Este, de asemenea, unul dintre puținele în care o configurare greșită este mai rea decât lipsa acesteia — 3.02% dintre domenii sunt semnate, dar defecte, ceea ce le poate face inaccesibile. Iată ce face și dacă aveți nevoie de el.

Împotriva a ce protejează de fapt DNSSEC

DNS-ul simplu nu are nicio modalitate de a dovedi că un răspuns este autentic. Acest lucru deschide ușa către otrăvirea cache-ului și falsificarea DNS pe traseu — un atacator furnizează unui resolver o înregistrare falsificată și vă trimite vizitatorii sau e-mailul către serverul său, fără nicio avertizare de certificat care să dea de gol acest lucru. DNSSEC închide această breșă prin semnarea înregistrărilor, astfel încât un resolver de validare respinge orice nu se verifică.

Ce nu face: nu criptează DNS-ul, nu securizează site-ul în sine și nu înlocuiește HTTPS, DMARC sau CAA. Este un singur strat — integritate pentru răspunsurile DNS.

Tabloul adoptării

În funcție de terminația domeniului, DNSSEC valid variază larg: 18.38% pe .se, 11.86% pe .nl, 14.62% pe .cz — față de doar 1.62% pe .com.

Aveți nevoie de el?

Cum să-l activați în siguranță

  1. Folosiți o gazdă DNS care automatizează DNSSEC — semnarea și rotația cheilor gestionate pentru dumneavoastră (majoritatea furnizorilor majori fac acum acest lucru cu un singur clic). Vedeți reparați DNSSEC.
  2. Activați semnarea, apoi publicați înregistrarea DS la registrarul dumneavoastră pentru a finaliza lanțul de încredere.
  3. Validați că lanțul se rezolvă înainte de a pleca — un domeniu semnat, dar defect este mai rău decât unul nesemnat.
  4. Nu gestionați niciodată cheile manual decât dacă aveți instrumentele necesare pentru a le roti în mod fiabil.

Întrebări frecvente

Ce este DNSSEC în termeni simpli? Este un set de semnături digitale pe înregistrările dumneavoastră DNS, astfel încât resolverele să poată dovedi că răspunsul este autentic și nu a fost falsificat în tranzit.

Chiar am nevoie de DNSSEC? Este cel mai valoros pentru domeniile foarte vizate și acolo unde conformitatea îl solicită. Pentru toți ceilalți este un pas bun de întărire dacă gazda dumneavoastră DNS îl automatizează — principalul risc este o configurare greșită, pe care 3.02% dintre domenii o au în prezent.

DNSSEC îmi criptează DNS-ul? Nu. Dovedește integritatea (răspunsul este autentic), dar nu ascunde interogarea. Aceasta este o tehnologie diferită (DoH/DoT).

Poate DNSSEC să-mi strice site-ul? O semnătură defectă sau expirată vă poate face domeniul imposibil de rezolvat pentru oricine folosește un resolver de validare. De aceea contează semnarea automată și rotația cheilor.

Este DNSSEC gratuit? Da, pe majoritatea gazdelor DNS moderne — este o setare, nu o achiziție.

Verificați gratuit DNSSEC-ul domeniului dumneavoastră

Vedeți dacă domeniul dumneavoastră este semnat, valid și corect înlănțuit — în mod privat și doar pentru proprietar.

Verificați-vă domeniul → · Reparați DNSSEC → · Funcționează DNSSEC obligatoriu? → · Cum evaluăm → · Doar date agregate. Date stocate și procesate în UE.