Defaults.Exposed

Defaults.Exposed › Reporty

Sieň slávy nesprávnych konfigurácií: Najbizarnejšie bezpečnostné rekordy webu (2026)

Publikované 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregované údaje zo sčítania naprieč 261 miliónmi ohodnotených domén. Každé číslo nižšie je reálny, opakujúci sa vzorec — nie ojedinelý prípad. Pozrite si ako hodnotíme.

Väčšina bezpečnostných zlyhaní je nudná: nastavenie, ktoré zostalo vypnuté. Niekoľko z nich je naozaj zábavných — digitálny ekvivalent odovzdania budovy s ceduľou „VLOŽTE MENO NÁJOMCU” stále vo výklade. Ohodnotili sme 261 miliónov domén; tu sú rekordy, pri ktorých sme sa museli pozrieť dvakrát.

1. Certifikát, ktorý nikto nepremenoval

Keď generujete certifikát TLS s predvolenými výzvami OpenSSL a iba stlačíte enter, názov organizácie sa stane zástupným symbolom. Tieto zástupné symboly sa majú nahradiť pred spustením naživo. Nenahradili sa:

Názov „Vydal” na aktívnom certifikáteStránky
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

„Internet Widgits Pty Ltd” je doslovná predvolená hodnota v ukážkovej konfigurácii OpenSSL — a 244,468 verejných stránok poskytuje certifikát opečiatkovaný ňou. Naprieč všetkými očividnými zástupnými a predvolenými názvami 685,732 stránok nikdy nezmenilo ceduľu. Každá z nich je tiež samopodpísaná, takže návštevníci dostanú varovanie prehliadača — poskytujú zástupný symbol aj chybu.

2. DMARC, stratený v preklade

Politika DMARC funguje, len ak znie presne p=none, p=quarantine alebo p=reject. 48,648 domén zverejnilo niečo iné — slovo politiky napísané s chybou alebo úplne v inom jazyku (reálne údaje zahŕňajú španielske, francúzske a portugalské podoby slova „none”). Zámer bol správny; presný pravopis nie — a DMARC akceptuje iba anglické kľúčové slovo, takže všetky poskytujú nulovú ochranu. (Úplný, aktuálny zoznam s počtami: najbežnejšie preklepy DMARC na internete.)

3. Uvítacia rohožka SPF

Celou úlohou SPF je povedať, ktoré servery môžu odosielať poštu vo vašom mene. 36,014 domén ukončuje svoj záznam výrazom +all — čo znamená presný opak: „akýkoľvek server na internete je oprávnený odosielať v mojom mene.” Je to bezpečnostný ekvivalent prilepenia kľúča na dvere. Ďalších 7,958 ticho pokazí svoj SPF prekročením limitu 10 DNS vyhľadávaní, čím ho úplne zruší. (Viac: správa o nesprávnej konfigurácii SPF.)

4. Čestné uznanie: samopodpísané milióny

Okrem zábavných názvov, 3,378,080 stránok poskytuje samopodpísaný certifikát — taký, ktorý vydali samy sebe a ktorý prehliadače odmietajú. Zvyčajne smerovač, testovací stroj alebo interný nástroj, ktorý bol omylom nasmerovaný na verejný internet a nikdy nezískal skutočný certifikát.

Čo majú tie zábavné spoločné

Každá položka tu má rovnakú základnú príčinu ako nudné zlyhania: predvolená hodnota ponechaná bez zmeny, vynechaný krok, nedokončené kopírovanie-vkladanie. Web nezlyháva dramaticky — zlyháva zotrvačnosťou, jeden nepremenovaný zástupný symbol za druhým. Pozitívom je: každé z týchto je päťminútová oprava.

Často kladené otázky

Prečo toľko certifikátov uvádza „Internet Widgits Pty Ltd”? Je to predvolený názov organizácie v ukážkovej konfigurácii OpenSSL. Keď niekto vygeneruje certifikát a prijme predvolené hodnoty, ten zástupný symbol skončí na aktívnom certifikáte. 244,468 verejných stránok ho nikdy nezmenilo.

Robí politika DMARC v inom jazyku niečo? Nie. DMARC rozpoznáva iba presné kľúčové slová none, quarantine a reject. Záznam so slovom politiky napísaným s chybou alebo v inom jazyku je neplatný a ignorovaný — doména zostáva sfalšovateľná.

Čo robí SPF +all? Oprávňuje každý server na internete odosielať e-maily v mene vašej domény — horšie ako nemať SPF vôbec. 36,014 domén ho má, takmer vždy omylom.

Sú toto zriedkavé okrajové prípady? Nie — každý z nich predstavuje stovky tisíc až milióny domén, nájdené konzistentne naprieč sčítaním 261 miliónov domén. Sú to bežné predvolené hodnoty, nie bizarné nehody.

Skontrolujte, aby vaša doména nebola v ďalšom vydaní

Väčšina z týchto sú jednoriadkové opravy. Skontrolujte svoju doménu súkromne a zadarmo — pozrite si svoj certifikát, DMARC a SPF presne tak, ako ich vidí internet.

Skontrolujte svoju doménu → · Preklepy DMARC → · Správa o nesprávnej konfigurácii SPF → · Správa o chybách certifikátu → · Iba agregované údaje. Údaje sa ukladajú a spracúvajú v EÚ.