Defaults.Exposed

Defaults.Exposed › Poročila

Paradoks DNSSEC: več domen ga pokvari, kot ga pravilno nastavi (2026)

Objavljeno 2026-06-29

Številke na dan 2026-06-29 · metodologija v7. Združeni podatki popisa po 261 milijonih ocenjenih domen. Oglejte si kako ocenjujemo.

DNSSEC naj bi otežil ugrabitev vaše domene — vendar je tako občutljiv, da ga ima več domen pokvarjenega kot pravilno delujočega. Med 261 milijoni domen jih ima 3.02% podpisan, a pokvarjen DNSSEC, v primerjavi z le 1.99%, ki ga imajo veljavnega. Preostalih 94.99% ga sploh ne poskuša. DNS je plast, ki jo pogovor o varnosti pozablja — in številke to kažejo.

Kaj pravijo podatki

Stanje DNSSECDelež domen
Veljaven (podpisan, deluje)1.99%
Pokvarjen (podpisan, napačno nastavljen)3.02%
Sploh ni podpisan94.99%

V vrstici pokvarjen je več domen kot v vrstici veljaven. To je paradoks: med majhno manjšino, ki vklopi DNSSEC, ga večina nastavi napačno.

Zakaj je pokvarjen DNSSEC slabši od neobstoja DNSSEC?

Nepodpisan DNSSEC je preprosto nezaščiten. Pokvarjen DNSSEC je dejavno nevaren: razreševalnik, ki preverja, bo zavrnil razrešitev domene, katere podpisi se ne ujemajo, zato lahko napačna nastavitev vašo domeno za del interneta povsem odklopi — brez spletnega mesta, brez e-pošte — dokler ni popravljena. Prav funkcija, ki naj bi vas ščitila, postane samopovzročen izpad. To tveganje, skupaj z resnično zapleteno menjavo ključev in predajo registratorju, je razlog, da uvajanje ostaja blizu dna.

Širša vrzel v varnosti DNS

DNSSEC ni edini zanemarjeni nadzor DNS. Zapisi CAA — ki omejujejo, kdo lahko izda potrdila TLS za vašo domeno, in tiho blokirajo razred napadov napačne izdaje — so prisotni na le 1.56% domen. DNS je temelj: če je ugrabljen, je mogoče zaobiti vsak drug nadzor nižje v verigi. Pa vendar je to plast, ki se je dotakne najmanj lastnikov.

Naj vklopim DNSSEC?

Za večino malih podjetij je vrstni red prednosti najprej preverjanje pristnosti e-pošte in HTTPS — ta ustavita napade, s katerimi se dejansko soočate vsak dan. DNSSEC je pomemben, a le pravilno izveden: pokvarjen podpis je slabši od nobenega. Če ga omogočite, uporabite ponudnika, ki za vas upravlja podpisovanje in menjavo ključev, in nato preverite, da se potrjuje od konca do konca. Oglejte si popravi DNSSEC in popravi CAA.

Pogosta vprašanja

Je pokvarjen DNSSEC res slabši od neobstoja DNSSEC? Da. Neobstoj DNSSEC pomeni le, da ni dodatne zaščite. Pokvarjen DNSSEC lahko povzroči, da se vaša domena za omrežja, ki preverjajo, ne razreši — kar vaše spletno mesto in e-pošto odklopi, dokler ni popravljeno.

Kolikšen delež domen uporablja DNSSEC pravilno? Le 1.99% na dan 2026-06-29 — manj kot 3.02%, ki ga imajo podpisanega, a pokvarjenega.

Kaj je zapis CAA in ali ga potrebujem? CAA omejuje, kateri overitelji potrdil lahko izdajo potrdila za vašo domeno, in blokira razred napačne izdaje. Le 1.56% domen ga nastavi. Je poceni dodatek z nizkim tveganjem.

Naj malo podjetje da prednost DNSSEC? Običajno po preverjanju pristnosti e-pošte in HTTPS. Najprej naredite ta dva; DNSSEC dodajte le, če ga znate pravilno upravljati.

Brezplačno preverite varnost DNS svoje domene

Oglejte si svoje stanje DNSSEC in CAA — ter nadzore, ki so pomembnejši — zasebno in samo za lastnika.

Preverite svojo domeno → · Popravi DNSSEC → · Popravi CAA → · Kako ocenjujemo → · Samo združeni podatki. Podatki shranjeni in obdelani v EU.