Defaults.Exposed › Отчёты
Парадокс DNSSEC: больше доменов ломают его, чем настраивают правильно (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 261 миллионам оценённых доменов. См. как мы оцениваем.
DNSSEC должен затруднить перехват вашего домена — но он настолько капризен, что у большего числа доменов он сломан, чем работает. На 261 миллионах доменов у 3,02% DNSSEC подписан, но сломан, против лишь 1,99%, у которых он действителен. Оставшиеся 94,99% вообще не пытаются. DNS — это слой, о котором забывает разговор о безопасности, и цифры это показывают.
Что говорят данные
| Состояние DNSSEC | Доля доменов |
|---|---|
| Действителен (подписан, работает) | 1,99% |
| Сломан (подписан, неправильно настроен) | 3,02% |
| Вообще не подписан | 94,99% |
В строке сломан доменов больше, чем в строке действителен. В этом и парадокс: среди небольшого меньшинства, включившего DNSSEC, большинство настраивает его неправильно.
Почему сломанный DNSSEC хуже, чем отсутствие DNSSEC?
Неподписанный DNSSEC просто не защищён. Сломанный DNSSEC активно опасен: проверяющий резолвер откажется разрешать домен, чьи подписи не сходятся, поэтому ошибка конфигурации может полностью отключить ваш домен для части интернета — ни сайта, ни почты — пока её не исправят. Та самая функция, призванная вас защитить, превращается в самонанесённый сбой. Этот риск плюс действительно непростая смена ключей и передача между регистраторами — вот почему распространение остаётся у самого минимума.
Более широкий пробел в безопасности DNS
DNSSEC — не единственный заброшенный механизм DNS. Записи CAA — которые ограничивают, кто может выпускать TLS-сертификаты для вашего домена, и тихо блокируют целый класс атак с ошибочным выпуском — присутствуют лишь у 1,56% доменов. DNS фундаментален: если его перехватят, любой другой нижестоящий механизм можно обойти. И всё же это слой, к которому реже всего прикасаются владельцы.
Стоит ли мне включать DNSSEC?
Для большинства малых предприятий приоритет — сначала аутентификация почты и HTTPS: они останавливают атаки, с которыми вы реально сталкиваетесь каждый день. DNSSEC важен, но только сделанный правильно: сломанная подпись хуже её отсутствия. Если вы его включаете, используйте провайдера, который управляет подписанием и сменой ключей за вас, и после проверьте, что он валидируется от начала до конца. См. исправить DNSSEC и исправить CAA.
Часто задаваемые вопросы
Действительно ли сломанный DNSSEC хуже, чем отсутствие DNSSEC? Да. Отсутствие DNSSEC означает лишь отсутствие дополнительной защиты. Сломанный DNSSEC может привести к тому, что ваш домен не будет разрешаться в проверяющих сетях — отключая ваш сайт и почту до устранения проблемы.
Какая доля доменов использует DNSSEC правильно? Лишь 1,99% по состоянию на 2026-06-29 — меньше, чем 3,02%, у которых он подписан, но сломан.
Что такое запись CAA и нужна ли она мне? CAA ограничивает, какие центры сертификации могут выпускать сертификаты для вашего домена, блокируя класс ошибочного выпуска. Лишь 1,56% доменов устанавливают её. Это дешёвое дополнение с низким риском.
Стоит ли малому бизнесу ставить DNSSEC в приоритет? Обычно после аутентификации почты и HTTPS. Сначала сделайте их; добавляйте DNSSEC только если сможете управлять им правильно.
Проверьте безопасность DNS вашего домена бесплатно
Посмотрите статус DNSSEC и CAA — и механизмы, которые важнее, — конфиденциально и только для владельца.
Проверьте ваш домен → · Исправить DNSSEC → · Исправить CAA → · Как мы оцениваем → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.