Defaults.Exposed › Reporty
Paradox DNSSEC: Viac domén ho pokazí, než nastaví správne (2026)
Publikované 2026-06-29
Údaje k 2026-06-29 · metodológia v7. Agregované údaje sčítania naprieč 261 miliónmi hodnotených domén. Pozri ako hodnotíme.
DNSSEC má sťažiť únos vašej domény — no je taký chúlostivý, že viac domén ho má pokazený než správne fungujúci. Spomedzi 261 miliónov domén má 3.02% podpísaný, ale pokazený DNSSEC, oproti len 1.99%, ktoré ho majú platný. Zvyšných 94.99% sa oň vôbec nepokúša. DNS je vrstva, na ktorú bezpečnostná diskusia zabúda — a čísla to ukazujú.
Čo hovoria údaje
| Stav DNSSEC | Podiel domén |
|---|---|
| Platný (podpísaný, funguje) | 1.99% |
| Pokazený (podpísaný, zle nakonfigurovaný) | 3.02% |
| Vôbec nepodpísaný | 94.99% |
V riadku pokazený je viac domén než v riadku platný. To je ten paradox: spomedzi malej menšiny, ktorá DNSSEC zapne, ho väčšina nastaví zle.
Prečo je pokazený DNSSEC horší než žiadny DNSSEC?
Nepodpísaný DNSSEC je jednoducho nechránený. Pokazený DNSSEC je aktívne nebezpečný: validujúci resolver odmietne preložiť doménu, ktorej podpisy nesedia, takže nesprávna konfigurácia môže vašu doménu pre časť internetu úplne odpojiť — žiadny web, žiadny e-mail — kým sa to neopraví. Práve tá funkcia, ktorá vás mala chrániť, sa stane výpadkom spôsobeným vám samým. Toto riziko spolu so skutočne zložitou výmenou kľúčov a odovzdaním registrátorovi je dôvod, prečo zostáva miera prijatia takmer na dne.
Širšia medzera v bezpečnosti DNS
DNSSEC nie je jediný zanedbávaný prvok kontroly DNS. Záznamy CAA — ktoré obmedzujú, kto môže vydávať TLS certifikáty pre vašu doménu, a potichu blokujú jednu triedu útokov chybného vydania — sú prítomné len na 1.56% domén. DNS je základ: ak je unesený, každý ďalší prvok kontroly nižšie v reťazci možno obísť. A predsa je to vrstva, ktorej sa dotkne najmenej majiteľov.
Mám zapnúť DNSSEC?
Pre väčšinu malých firiem je poradie priorít najprv overovanie e-mailu a HTTPS — tie zastavujú útoky, ktorým naozaj denne čelíte. DNSSEC je dôležitý, ale len urobený správne: pokazený podpis je horší než žiadny. Ak ho zapnete, použite poskytovateľa, ktorý za vás spravuje podpisovanie a výmenu kľúčov, a potom overte, že sa validuje od začiatku do konca. Pozri oprava DNSSEC a oprava CAA.
Často kladené otázky
Je pokazený DNSSEC naozaj horší než žiadny DNSSEC? Áno. Žiadny DNSSEC znamená len žiadnu ochranu navyše. Pokazený DNSSEC môže spôsobiť, že sa vaša doména pre validujúce siete nepreloží — odpojí váš web a e-mail, kým sa to neopraví.
Aký podiel domén používa DNSSEC správne? Len 1.99% k 2026-06-29 — menej než 3.02%, ktoré ho majú podpísaný, ale pokazený.
Čo je záznam CAA a potrebujem ho? CAA obmedzuje, ktoré certifikačné autority môžu vydávať certifikáty pre vašu doménu, a blokuje jednu triedu chybného vydania. Len 1.56% domén ho nastaví. Je to lacný doplnok s nízkym rizikom.
Mala by malá firma uprednostniť DNSSEC? Zvyčajne až po overovaní e-mailu a HTTPS. Tie urobte najprv; DNSSEC pridajte len vtedy, ak ho dokážete spravovať správne.
Skontrolujte bezpečnosť DNS svojej domény zdarma
Pozrite si svoj stav DNSSEC a CAA — a prvky kontroly, ktoré sú dôležitejšie — súkromne a len pre majiteľa.
Skontrolujte svoju doménu → · Oprava DNSSEC → · Oprava CAA → · Ako hodnotíme → · Iba agregované údaje. Údaje uložené a spracované v EÚ.