Defaults.Exposed

Defaults.Exposed › Отчёты

Зал славы неверных настроек: самые причудливые записи безопасности в вебе (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 миллионам оценённых доменов. Каждая цифра ниже — это реальная повторяющаяся закономерность, а не единичный случай. См. как мы выставляем оценки.

Большинство сбоев безопасности скучны: настройка осталась невключённой. Некоторые по-настоящему смешны — цифровой эквивалент сдачи здания с табличкой «ВСТАВЬТЕ ИМЯ АРЕНДАТОРА», всё ещё висящей в окне. Мы оценили 261 миллионов доменов; вот рекорды, заставившие нас посмотреть дважды.

1. Сертификат, который никто не переименовал

Когда вы генерируете TLS-сертификат со стандартными подсказками OpenSSL и просто нажимаете Enter, имя организации становится заполнителем. Эти заполнители должны быть заменены перед запуском. Но их не заменили:

Имя «Выдан кем» на действующем сертификатеСайты
Internet Widgits Pty Ltd244 468
MyCompany Inc.226 830
TRAEFIK DEFAULT CERT108 348
localhost106 086

«Internet Widgits Pty Ltd» — это буквальное значение по умолчанию в примере конфигурации OpenSSL, и 244 468 публичных сайтов отдают сертификат с этим штампом. По всем очевидным именам-заполнителям и именам по умолчанию 685 732 сайтов так и не сменили табличку. Каждый из них к тому же самоподписан, так что посетители получают предупреждение браузера — они отдают заполнитель и ошибку.

2. DMARC, потерянный при переводе

Политика DMARC работает, только если в ней точно написано p=none, p=quarantine или p=reject. 48 648 доменов опубликовали что-то иное — слово политики с опечаткой или написанное полностью на другом языке (в реальных данных встречаются испанские, французские и португальские варианты слова «none»). Намерение было верным; точное написание — нет, а DMARC принимает только английское ключевое слово, так что все они дают нулевую защиту. (Полный актуальный список с подсчётами: самые частые опечатки в DMARC в интернете.)

3. Приветственный коврик SPF

Вся задача SPF — указать, какие серверы могут отправлять почту от вашего имени. 36 014 доменов завершают свою запись на +all, что означает ровно противоположное: «любой сервер в интернете уполномочен отправлять от моего имени.» Это эквивалент того, чтобы приклеить свой ключ к двери. Ещё 7 958 тихо ломают свой SPF, превышая лимит в 10 DNS-запросов, полностью обнуляя его. (Подробнее: отчёт о неправильной настройке SPF.)

4. Почётное упоминание: самоподписанные миллионы

Помимо смешных имён, 3 378 080 сайтов отдают самоподписанный сертификат — тот, который они выдали сами себе и который браузеры отклоняют. Обычно это маршрутизатор, тестовый стенд или внутренний инструмент, который случайно оказался направлен в публичный интернет и так и не получил настоящий сертификат.

Что общего у смешных случаев

Каждая запись здесь имеет ту же первопричину, что и скучные сбои: нетронутое значение по умолчанию, пропущенный шаг, незавершённое копирование-вставка. Веб не падает драматично — он падает по инерции, по одному непереименованному заполнителю за раз. Хорошая новость: каждый из них исправляется за пять минут.

Часто задаваемые вопросы

Почему так много сертификатов говорят «Internet Widgits Pty Ltd»? Это имя организации по умолчанию в примере конфигурации OpenSSL. Когда кто-то генерирует сертификат и принимает значения по умолчанию, этот заполнитель попадает на действующий сертификат. 244 468 публичных сайтов так его и не сменили.

Делает ли что-нибудь политика DMARC на другом языке? Нет. DMARC распознаёт только точные ключевые слова none, quarantine и reject. Запись со словом политики, написанным с опечаткой или на другом языке, недействительна и игнорируется — домен остаётся уязвимым для подделки.

Что делает SPF +all? Он разрешает каждому серверу в интернете отправлять почту от имени вашего домена — это хуже, чем не иметь SPF вообще. 36 014 доменов имеют его, почти всегда по ошибке.

Это редкие исключительные случаи? Нет — каждый из них охватывает от сотен тысяч до миллионов доменов, стабильно обнаруживаемых в переписи из 261 миллионов доменов. Это распространённые значения по умолчанию, а не редкие случайности.

Убедитесь, что вашего домена нет в следующем выпуске

Большинство из них исправляются одной строкой. Проверьте свой домен приватно и бесплатно — посмотрите на свой сертификат, DMARC и SPF ровно так, как их видит интернет.

Проверьте свой домен → · Опечатки в DMARC → · Отчёт о неправильной настройке SPF → · Отчёт об ошибках сертификатов → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.