Defaults.Exposed

Defaults.Exposed › Izveštaji

DNSSEC paradoks: Više domena ga pokvari nego što ga ispravno postavi (2026)

Objavljeno 2026-06-29

Бројке закључно са 2026-06-29 · методологија v7. Збирни подаци пописа кроз 261 милиона оцењених домена. Погледајте како оцењујемо.

DNSSEC би требало да отежа отимање вашег домена — али је толико ћудљив да више домена има поквареан него исправан. Од 261 милиона домена, 3.02% има потписан, али покварен DNSSEC, наспрам само 1.99% којима је исправан. Преосталих 94.99% уопште ни не покушава. DNS је слој који разговор о безбедности заборавља — и бројке то показују.

Шта подаци кажу

Стање DNSSECУдео домена
Исправан (потписан, ради)1.99%
Покварен (потписан, погрешно подешен)3.02%
Уопште није потписан94.99%

У реду покварен налази се више домена него у реду исправан. То је парадокс: међу малом мањином која укључи DNSSEC, већина га погрешно подеси.

Зашто је покварен DNSSEC гори од непостојања DNSSEC-а?

Непотписан DNSSEC је једноставно незаштићен. Покварен DNSSEC је активно опасан: ресолвер који врши проверу одбиће да разреши домен чији се потписи не подударају, па погрешно подешавање може ваш домен потпуно одвести ван мреже за део интернета — без веб-сајта, без имејла — док се не поправи. Управо она функција која је требало да вас заштити постаје самонанети прекид. Тај ризик, уз заиста незгодну смену кључева и предају регистратору, разлог је што усвајање остаје близу дна.

Шира празнина у безбедности DNS-а

DNSSEC није једина занемарена DNS контрола. CAA записи — који ограничавају ко може да издаје TLS сертификате за ваш домен и тихо блокирају једну класу напада погрешног издавања — присутни су на само 1.56% домена. DNS је темељ: ако се отме, свака друга низводна контрола може се заобићи. Па ипак, то је слој који најмање власника икада дотакне.

Да ли да укључим DNSSEC?

За већину малих предузећа редослед приоритета је прво аутентификација имејла и HTTPS — они заустављају нападе са којима се заиста свакодневно суочавате. DNSSEC је важан, али само ако је правилно урађен: покварен потпис је гори од никаквог. Ако га укључите, користите провајдера који за вас управља потписивањем и сменом кључева, а затим проверите да се валидира с краја на крај. Погледајте поправи DNSSEC и поправи CAA.

Често постављана питања

Да ли је покварен DNSSEC заиста гори од непостојања DNSSEC-а? Да. Непостојање DNSSEC-а само значи да нема додатне заштите. Покварен DNSSEC може учинити да се ваш домен не разреши за мреже које врше проверу — одводећи ваш сајт и имејл ван мреже док се не поправи.

Који удео домена правилно користи DNSSEC? Само 1.99% закључно са 2026-06-29 — мање од 3.02% којима је потписан, али покварен.

Шта је CAA запис и да ли ми је потребан? CAA ограничава која сертификациона тела могу да издају сертификате за ваш домен, блокирајући једну класу погрешног издавања. Само 1.56% домена га поставља. То је јефтин додатак ниског ризика.

Да ли мало предузеће треба да приоритизује DNSSEC? Обично након аутентификације имејла и HTTPS-а. Прво урадите њих; додајте DNSSEC само ако можете правилно да њиме управљате.

Проверите безбедност DNS-а вашег домена бесплатно

Погледајте свој статус DNSSEC и CAA — и контроле које су важније — приватно и само за власника.

Проверите свој домен → · Поправи DNSSEC → · Поправи CAA → · Како оцењујемо → · Само збирни подаци. Подаци се чувају и обрађују у ЕУ.