Defaults.Exposed

Defaults.Exposed › Отчёты

Парадокс DNSSEC: больше доменов ломают его, чем настраивают правильно (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 261 миллионам оценённых доменов. См. как мы оцениваем.

DNSSEC должен затруднить перехват вашего домена — но он настолько капризен, что у большего числа доменов он сломан, чем работает. На 261 миллионах доменов у 3,02% DNSSEC подписан, но сломан, против лишь 1,99%, у которых он действителен. Оставшиеся 94,99% вообще не пытаются. DNS — это слой, о котором забывает разговор о безопасности, и цифры это показывают.

Что говорят данные

Состояние DNSSECДоля доменов
Действителен (подписан, работает)1,99%
Сломан (подписан, неправильно настроен)3,02%
Вообще не подписан94,99%

В строке сломан доменов больше, чем в строке действителен. В этом и парадокс: среди небольшого меньшинства, включившего DNSSEC, большинство настраивает его неправильно.

Почему сломанный DNSSEC хуже, чем отсутствие DNSSEC?

Неподписанный DNSSEC просто не защищён. Сломанный DNSSEC активно опасен: проверяющий резолвер откажется разрешать домен, чьи подписи не сходятся, поэтому ошибка конфигурации может полностью отключить ваш домен для части интернета — ни сайта, ни почты — пока её не исправят. Та самая функция, призванная вас защитить, превращается в самонанесённый сбой. Этот риск плюс действительно непростая смена ключей и передача между регистраторами — вот почему распространение остаётся у самого минимума.

Более широкий пробел в безопасности DNS

DNSSEC — не единственный заброшенный механизм DNS. Записи CAA — которые ограничивают, кто может выпускать TLS-сертификаты для вашего домена, и тихо блокируют целый класс атак с ошибочным выпуском — присутствуют лишь у 1,56% доменов. DNS фундаментален: если его перехватят, любой другой нижестоящий механизм можно обойти. И всё же это слой, к которому реже всего прикасаются владельцы.

Стоит ли мне включать DNSSEC?

Для большинства малых предприятий приоритет — сначала аутентификация почты и HTTPS: они останавливают атаки, с которыми вы реально сталкиваетесь каждый день. DNSSEC важен, но только сделанный правильно: сломанная подпись хуже её отсутствия. Если вы его включаете, используйте провайдера, который управляет подписанием и сменой ключей за вас, и после проверьте, что он валидируется от начала до конца. См. исправить DNSSEC и исправить CAA.

Часто задаваемые вопросы

Действительно ли сломанный DNSSEC хуже, чем отсутствие DNSSEC? Да. Отсутствие DNSSEC означает лишь отсутствие дополнительной защиты. Сломанный DNSSEC может привести к тому, что ваш домен не будет разрешаться в проверяющих сетях — отключая ваш сайт и почту до устранения проблемы.

Какая доля доменов использует DNSSEC правильно? Лишь 1,99% по состоянию на 2026-06-29 — меньше, чем 3,02%, у которых он подписан, но сломан.

Что такое запись CAA и нужна ли она мне? CAA ограничивает, какие центры сертификации могут выпускать сертификаты для вашего домена, блокируя класс ошибочного выпуска. Лишь 1,56% доменов устанавливают её. Это дешёвое дополнение с низким риском.

Стоит ли малому бизнесу ставить DNSSEC в приоритет? Обычно после аутентификации почты и HTTPS. Сначала сделайте их; добавляйте DNSSEC только если сможете управлять им правильно.

Проверьте безопасность DNS вашего домена бесплатно

Посмотрите статус DNSSEC и CAA — и механизмы, которые важнее, — конфиденциально и только для владельца.

Проверьте ваш домен → · Исправить DNSSEC → · Исправить CAA → · Как мы оцениваем → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.