Defaults.Exposed › Отчёты
Зал славы неверных настроек: самые причудливые записи безопасности в вебе (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 миллионам оценённых доменов. Каждая цифра ниже — это реальная повторяющаяся закономерность, а не единичный случай. См. как мы выставляем оценки.
Большинство сбоев безопасности скучны: настройка осталась невключённой. Некоторые по-настоящему смешны — цифровой эквивалент сдачи здания с табличкой «ВСТАВЬТЕ ИМЯ АРЕНДАТОРА», всё ещё висящей в окне. Мы оценили 261 миллионов доменов; вот рекорды, заставившие нас посмотреть дважды.
1. Сертификат, который никто не переименовал
Когда вы генерируете TLS-сертификат со стандартными подсказками OpenSSL и просто нажимаете Enter, имя организации становится заполнителем. Эти заполнители должны быть заменены перед запуском. Но их не заменили:
| Имя «Выдан кем» на действующем сертификате | Сайты |
|---|---|
| Internet Widgits Pty Ltd | 244 468 |
| MyCompany Inc. | 226 830 |
| TRAEFIK DEFAULT CERT | 108 348 |
| localhost | 106 086 |
«Internet Widgits Pty Ltd» — это буквальное значение по умолчанию в примере конфигурации OpenSSL, и 244 468 публичных сайтов отдают сертификат с этим штампом. По всем очевидным именам-заполнителям и именам по умолчанию 685 732 сайтов так и не сменили табличку. Каждый из них к тому же самоподписан, так что посетители получают предупреждение браузера — они отдают заполнитель и ошибку.
2. DMARC, потерянный при переводе
Политика DMARC работает, только если в ней точно написано p=none, p=quarantine или p=reject. 48 648 доменов опубликовали что-то иное — слово политики с опечаткой или написанное полностью на другом языке (в реальных данных встречаются испанские, французские и португальские варианты слова «none»). Намерение было верным; точное написание — нет, а DMARC принимает только английское ключевое слово, так что все они дают нулевую защиту. (Полный актуальный список с подсчётами: самые частые опечатки в DMARC в интернете.)
3. Приветственный коврик SPF
Вся задача SPF — указать, какие серверы могут отправлять почту от вашего имени. 36 014 доменов завершают свою запись на +all, что означает ровно противоположное: «любой сервер в интернете уполномочен отправлять от моего имени.» Это эквивалент того, чтобы приклеить свой ключ к двери. Ещё 7 958 тихо ломают свой SPF, превышая лимит в 10 DNS-запросов, полностью обнуляя его. (Подробнее: отчёт о неправильной настройке SPF.)
4. Почётное упоминание: самоподписанные миллионы
Помимо смешных имён, 3 378 080 сайтов отдают самоподписанный сертификат — тот, который они выдали сами себе и который браузеры отклоняют. Обычно это маршрутизатор, тестовый стенд или внутренний инструмент, который случайно оказался направлен в публичный интернет и так и не получил настоящий сертификат.
Что общего у смешных случаев
Каждая запись здесь имеет ту же первопричину, что и скучные сбои: нетронутое значение по умолчанию, пропущенный шаг, незавершённое копирование-вставка. Веб не падает драматично — он падает по инерции, по одному непереименованному заполнителю за раз. Хорошая новость: каждый из них исправляется за пять минут.
Часто задаваемые вопросы
Почему так много сертификатов говорят «Internet Widgits Pty Ltd»? Это имя организации по умолчанию в примере конфигурации OpenSSL. Когда кто-то генерирует сертификат и принимает значения по умолчанию, этот заполнитель попадает на действующий сертификат. 244 468 публичных сайтов так его и не сменили.
Делает ли что-нибудь политика DMARC на другом языке?
Нет. DMARC распознаёт только точные ключевые слова none, quarantine и reject. Запись со словом политики, написанным с опечаткой или на другом языке, недействительна и игнорируется — домен остаётся уязвимым для подделки.
Что делает SPF +all? Он разрешает каждому серверу в интернете отправлять почту от имени вашего домена — это хуже, чем не иметь SPF вообще. 36 014 доменов имеют его, почти всегда по ошибке.
Это редкие исключительные случаи? Нет — каждый из них охватывает от сотен тысяч до миллионов доменов, стабильно обнаруживаемых в переписи из 261 миллионов доменов. Это распространённые значения по умолчанию, а не редкие случайности.
Убедитесь, что вашего домена нет в следующем выпуске
Большинство из них исправляются одной строкой. Проверьте свой домен приватно и бесплатно — посмотрите на свой сертификат, DMARC и SPF ровно так, как их видит интернет.
Проверьте свой домен → · Опечатки в DMARC → · Отчёт о неправильной настройке SPF → · Отчёт об ошибках сертификатов → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.