Defaults.Exposed

Defaults.Exposed › Отчёты

Что такое DNSSEC — и действительно ли он вам нужен? (2026)

Опубликовано 2026-07-01

Данные по состоянию на 2026-06-29 · методология v7. Совокупные данные переписи по 261 миллионам оценённых доменов. DNSSEC добавляет к DNS криптографические подписи, чтобы резолвер мог убедиться, что ответ действительно пришёл от вас и не был подделан. См. как мы выставляем оценки.

DNSSEC ставит на каждый DNS-ответ для вашего домена подпись, чтобы злоумышленник не мог незаметно подменить его на поддельный и отправить ваших посетителей в другое место. Это одна из наименее распространённых мер защиты в сети: лишь у 1,99% из 261 миллионов доменов есть действительная подписанная цепочка. Это также один из немногих случаев, когда плохая конфигурация хуже, чем её отсутствие: 3,02% доменов подписаны, но с ошибками, из-за чего они могут стать недоступными. Вот что он делает и нужен ли он вам.

От чего на самом деле защищает DNSSEC

Обычный DNS никак не может доказать, что ответ подлинный. Это открывает дорогу для отравления кеша и подмены DNS на пути следования (on-path) — злоумышленник подсовывает резолверу поддельную запись и направляет ваших посетителей или вашу почту на свой сервер, причём никакого предупреждения о сертификате, которое бы это выдало, не появляется. DNSSEC закрывает эту брешь, подписывая записи так, чтобы проверяющий резолвер отклонял всё, что не проходит проверку.

Чего он не делает: он не шифрует DNS, не защищает сам сайт и не заменяет HTTPS, DMARC или CAA. Это один слой — целостность DNS-ответов.

Картина внедрения

По окончанию домена доля действительного DNSSEC сильно различается: 18,38% на .se, 11,86% на .nl, 14,62% на .cz — против всего 1,62% на .com.

Нужен ли он вам?

Как безопасно его включить

  1. Используйте DNS-хостинг, который автоматизирует DNSSEC — подписывание и смена ключей берутся на себя (большинство крупных провайдеров теперь делают это в один клик). См. исправить DNSSEC.
  2. Включите подписывание, затем опубликуйте DS-запись у вашего регистратора, чтобы замкнуть цепочку доверия.
  3. Проверьте, что цепочка разрешается, прежде чем уйти — подписанный, но испорченный домен хуже неподписанного.
  4. Никогда не управляйте ключами вручную, если у вас нет инструментов для их надёжной ротации.

Часто задаваемые вопросы

Что такое DNSSEC простыми словами? Это набор цифровых подписей на ваших DNS-записях, чтобы резолверы могли убедиться, что ответ подлинный и не был подделан при передаче.

Действительно ли мне нужен DNSSEC? Он наиболее ценен для доменов под прицелом и там, где этого требуют регуляторы. Для всех остальных это хороший шаг к укреплению защиты, если ваш DNS-хостинг его автоматизирует — главный риск здесь неправильная настройка, которая сейчас есть у 3,02% доменов.

Шифрует ли DNSSEC мой DNS? Нет. Он подтверждает целостность (что ответ подлинный), но не скрывает запрос. Это уже другая технология (DoH/DoT).

Может ли DNSSEC сломать мой сайт? Испорченная или просроченная подпись может сделать ваш домен неразрешимым для всех, кто использует проверяющий резолвер. Именно поэтому важны автоматическое подписывание и смена ключей.

DNSSEC бесплатен? Да, на большинстве современных DNS-хостингов — это настройка, а не покупка.

Проверьте DNSSEC вашего домена бесплатно

Узнайте, подписан ли ваш домен, действительна ли подпись и правильно ли выстроена цепочка — приватно и только для владельца.

Проверить ваш домен → · Исправить DNSSEC → · Работает ли обязательный DNSSEC? → · Как мы выставляем оценки → · Только совокупные данные. Данные хранятся и обрабатываются в ЕС.