Defaults.Exposed

Defaults.Exposed › Rapporter

DNSSEC-paradoxen: fler domäner sätter den ur spel än får den rätt (2026)

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata över 261 miljoner betygsatta domäner. Se hur vi betygsätter.

DNSSEC ska göra din domän svårare att kapa — men det är så petigt att fler domäner har det trasigt än fungerande. Över 261 miljoner domäner har 3.02% signerad men trasig DNSSEC, mot bara 1.99% som har den giltig. De återstående 94.99% försöker inte ens. DNS är lagret som säkerhetssamtalet glömmer — och siffrorna visar det.

Vad datan säger

DNSSEC-statusAndel av domänerna
Giltig (signerad, fungerande)1.99%
Trasig (signerad, felkonfigurerad)3.02%
Inte signerad alls94.99%

Fler domäner ligger i raden trasig än i raden giltig. Det är paradoxen: bland den lilla minoritet som slår på DNSSEC gör majoriteten fel.

Varför är trasig DNSSEC värre än ingen DNSSEC?

Osignerad DNSSEC är helt enkelt oskyddad. Trasig DNSSEC är aktivt farlig: en validerande resolver vägrar slå upp en domän vars signaturer inte stämmer, så en felkonfiguration kan ta din domän helt offline för en del av internet — ingen webbplats, ingen e-post — tills den åtgärdas. Just den funktion som ska skydda dig blir ett självförvållat avbrott. Den risken, plus genuint knepig nyckelrotation och överlämning mellan registrarer, är varför införandet stannar nära botten.

Den bredare luckan i DNS-säkerheten

DNSSEC är inte den enda försummade DNS-kontrollen. CAA-poster — som begränsar vem som får utfärda TLS-certifikat för din domän och tyst blockerar en klass av felaktiga utfärdandeattacker — finns på bara 1.56% av domänerna. DNS är grundläggande: om det kapas kan varje annan nedströms kontroll kringgås. Ändå är det lagret som färst ägare någonsin rör.

Bör jag slå på DNSSEC?

För de flesta småföretag är prioriteringsordningen e-postautentisering och HTTPS först — de stoppar de attacker du faktiskt möter dagligen. DNSSEC spelar roll, men bara rätt gjort: en trasig signatur är värre än ingen. Om du aktiverar den, använd en leverantör som sköter signering och nyckelrotation åt dig, och kontrollera efteråt att den validerar hela vägen. Se åtgärda DNSSEC och åtgärda CAA.

Vanliga frågor

Är trasig DNSSEC verkligen värre än ingen DNSSEC? Ja. Ingen DNSSEC betyder bara inget extra skydd. Trasig DNSSEC kan göra att din domän inte slås upp på validerande nätverk — vilket tar din webbplats och e-post offline tills den åtgärdas.

Hur stor andel av domänerna använder DNSSEC korrekt? Bara 1.99% per 2026-06-29 — färre än de 3.02% som har den signerad men trasig.

Vad är en CAA-post och behöver jag en? CAA begränsar vilka certifikatutfärdare som får utfärda certifikat för din domän, och blockerar en klass av felaktiga utfärdanden. Bara 1.56% av domänerna ställer in en. Det är ett billigt, lågriskligt tillägg.

Bör ett småföretag prioritera DNSSEC? Vanligtvis efter e-postautentisering och HTTPS. Gör dem först; lägg bara till DNSSEC om du kan sköta det korrekt.

Kontrollera din domäns DNS-säkerhet gratis

Se din DNSSEC- och CAA-status — och de kontroller som spelar större roll — privat och endast för ägaren.

Kontrollera din domän → · Åtgärda DNSSEC → · Åtgärda CAA → · Hur vi betygsätter → · Endast aggregerade data. Data lagras och behandlas i EU.