Defaults.Exposed

Defaults.Exposed › Poročila

Kaj je DNSSEC — in ga v resnici potrebujete? (2026)

Objavljeno 2026-07-01

Podatki na dan 2026-06-29 · metodologija v7. Zbirni podatki popisa za 261 milijonov ocenjenih domen. DNSSEC dodaja kriptografske podpise v DNS, tako da lahko razreševalnik dokaže, da je odgovor res prišel od vas in ni bil spremenjen. Oglejte si kako ocenjujemo.

DNSSEC vsak DNS-odgovor za vašo domeno opremi s podpisom, tako da napadalec ne more tiho podtakniti ponarejenega in vaše obiskovalce preusmeriti drugam. Gre za enega najmanj razširjenih varnostnih ukrepov na spletu: samo 1.99 % od 261 milijonov domen ima veljavno podpisano verigo. Je tudi eden redkih, pri katerem je napačna konfiguracija slabša od nobene — 3.02 % domen je podpisanih, a pokvarjenih, kar jih lahko naredi nedosegljive. Tukaj je razlaga, kaj počne in ali ga potrebujete.

Pred čim DNSSEC dejansko ščiti

Navadni DNS nima načina, da bi dokazal, da je odgovor pristen. To odpira vrata zastrupitvi predpomnilnika in DNS-ponarejanju na poti — napadalec razreševalniku podtakne ponarejen zapis in vaše obiskovalce ali vašo pošto usmeri na svoj strežnik, brez opozorila o certifikatu, ki bi to razkrilo. DNSSEC to vrzel zapre s podpisovanjem zapisov, tako da validacijski razreševalnik zavrne vse, kar se ne preveri.

Česa ne počne: ne šifrira DNS-a, ne varuje same spletne strani in ne nadomešča HTTPS, DMARC ali CAA. Je ena plast — celovitost DNS-odgovorov.

Slika razširjenosti

Po domenski končnici se veljavni DNSSEC močno razlikuje: 18.38 % pri .se, 11.86 % pri .nl, 14.62 % pri .cz — v primerjavi z le 1.62 % pri .com.

Ali ga potrebujete?

Kako ga varno vklopiti

  1. Uporabite DNS-gostitelja, ki avtomatizira DNSSEC — podpisovanje in menjave ključev uredi za vas (večina večjih ponudnikov to danes zmore z enim klikom). Oglejte si popravi DNSSEC.
  2. Omogočite podpisovanje, nato pri svojem registrarju objavite zapis DS, da dokončate verigo zaupanja.
  3. Preverite, da se veriga razreši, preden odidete — podpisana, a pokvarjena domena je slabša od nepodpisane.
  4. Nikoli ročno ne upravljajte ključev, razen če imate orodja za njihovo zanesljivo rotiranje.

Pogosta vprašanja

Kaj je DNSSEC v preprostih besedah? Gre za nabor digitalnih podpisov na vaših DNS-zapisih, tako da lahko razreševalniki dokažejo, da je odgovor pristen in da med prenosom ni bil ponarejen.

Ali res potrebujem DNSSEC? Najbolj koristi domenam z visoko tarčo in tam, kjer to zahteva skladnost. Za vse druge je dober korak k utrjevanju če ga vaš DNS-gostitelj avtomatizira — glavno tveganje je napačna konfiguracija, ki jo ima trenutno 3.02 % domen.

Ali DNSSEC šifrira moj DNS? Ne. Dokazuje celovitost (da je odgovor pristen), ne skriva pa poizvedbe. To je druga tehnologija (DoH/DoT).

Ali lahko DNSSEC pokvari mojo spletno stran? Pokvarjen ali potekel podpis lahko naredi vašo domeno nerazrešljivo za vse, ki uporabljajo validacijski razreševalnik. Zato sta avtomatizirano podpisovanje in menjava ključev pomembna.

Ali je DNSSEC brezplačen? Da, pri večini sodobnih DNS-gostiteljev — je nastavitev, ne nakup.

Brezplačno preverite DNSSEC svoje domene

Preverite, ali je vaša domena podpisana, veljavna in pravilno povezana v verigo — zasebno in samo za lastnika.

Preverite svojo domeno → · Popravi DNSSEC → · Ali obvezni DNSSEC deluje? → · Kako ocenjujemo → · Samo zbirni podatki. Podatki shranjeni in obdelani v EU.