Defaults.Exposed › รายงาน
Hall of Fame ของการกำหนดค่าผิดพลาด: สถิติความปลอดภัยที่แปลกที่สุดของเว็บ (2026)
เผยแพร่ 2026-06-29
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมจากโดเมน 261 ล้านโดเมนที่ได้รับการให้เกรด ทุกตัวเลขด้านล่างเป็นรูปแบบที่เกิดซ้ำจริง — ไม่ใช่กรณีเดียว ดู วิธีที่เราให้เกรด
ความล้มเหลวด้านความปลอดภัยส่วนใหญ่น่าเบื่อ: การตั้งค่าที่ถูกปิดไว้ บางส่วนน่าขำจริงๆ — เทียบเท่าดิจิทัลของการส่งมอบอาคารพร้อมป้าย “INSERT TENANT NAME” ยังอยู่ในหน้าต่าง เราให้เกรดโดเมน 261 ล้านโดเมน นี่คือสถิติที่ทำให้เราต้องมองสองครั้ง
1. ใบรับรองที่ไม่มีใครเปลี่ยนชื่อ
เมื่อคุณสร้างใบรับรอง TLS ด้วย prompts ค่าเริ่มต้นของ OpenSSL และกด enter ชื่อองค์กรจะกลายเป็นตัวแทน ตัวแทนเหล่านั้นควรถูกแทนที่ก่อน go live แต่ไม่ได้เป็นเช่นนั้น:
| ชื่อ “Issued by” บนใบรับรอง live | ไซต์ |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
“Internet Widgits Pty Ltd” คือชื่อองค์กรค่าเริ่มต้นใน config ตัวอย่างของ OpenSSL — และไซต์สาธารณะ 244,468 แห่งกำลังให้บริการใบรับรองที่ประทับตรานั้น ข้ามชื่อตัวแทนและค่าเริ่มต้นที่ชัดเจนทั้งหมด 685,732 ไซต์ไม่เคยเปลี่ยนป้าย ทุกแห่งยังเป็น self-signed ดังนั้นผู้เยี่ยมชมได้รับคำเตือนจากเบราว์เซอร์ — พวกเขากำลังส่งตัวแทน และ ข้อผิดพลาด
2. DMARC หลงทางในการแปล
นโยบาย DMARC ทำงานได้เฉพาะเมื่ออ่านว่า p=none, p=quarantine หรือ p=reject อย่างชัดเจน 48,648 โดเมนเผยแพร่สิ่งอื่น — คำนโยบายสะกดผิด หรือเขียนเป็นภาษาอื่น (ข้อมูล live รวมถึงรูปแบบภาษาสเปน ฝรั่งเศส และโปรตุเกสของ “none”) เจตนาถูกต้อง แต่การสะกดไม่ถูกต้อง — และ DMARC ยอมรับเฉพาะคำสำคัญภาษาอังกฤษ ดังนั้นทั้งหมดไม่ให้การป้องกันใดๆ (รายการครบถ้วนปัจจุบันพร้อมจำนวน: typos DMARC ที่พบบ่อยที่สุดบนอินเทอร์เน็ต)
3. SPF welcome mat
งานทั้งหมดของ SPF คือการบอกว่าเซิร์ฟเวอร์ใดสามารถส่งเมลในนามคุณ 36,014 โดเมนจบ record ของตนด้วย +all — ซึ่งหมายความว่าตรงกันข้าม: “เซิร์ฟเวอร์ใดบนอินเทอร์เน็ตได้รับอนุญาตให้ส่งในนามฉัน” มันเทียบเท่าความปลอดภัยกับการติดกุญแจไว้ที่ประตู อีก 7,958 แห่งทำลาย SPF ของตนอย่างเงียบๆ โดยเกิน 10 DNS lookup limit ทำให้มันเป็นโมฆะทั้งหมด (เพิ่มเติม: รายงาน SPF misconfiguration)
4. กล่าวถึงกิตติมศักดิ์: ล้านแห่ง self-signed
นอกเหนือจากชื่อที่น่าขำ 3,378,080 ไซต์ให้บริการใบรับรอง self-signed — ใบรับรองที่พวกเขาออกให้ตัวเอง ซึ่งเบราว์เซอร์ปฏิเสธ ปกติเป็น router, test box หรือเครื่องมือภายในที่โดยบังเอิญถูกชี้ไปยังอินเทอร์เน็ตสาธารณะและไม่เคยได้รับใบรับรองจริง
สิ่งที่รายการน่าขำเหล่านี้มีเหมือนกัน
ทุกรายการที่นี่มีสาเหตุรากเดียวกับความล้มเหลวที่น่าเบื่อ: ค่าเริ่มต้นที่ถูกทิ้งไว้โดยไม่แตะต้อง ขั้นตอนที่ข้าม การ copy-paste ที่ไม่เสร็จ เว็บไม่ล้มเหลวอย่างดราม่า — มันล้มเหลวด้วยความเฉื่อย ทีละตัวแทนที่ไม่ได้เปลี่ยนชื่อ ข้อดี: ทุกอย่างนี้แก้ไขได้ในห้านาที
คำถามที่พบบ่อย
ทำไมใบรับรองหลายแห่งถึงระบุ “Internet Widgits Pty Ltd”? เป็นชื่อองค์กรค่าเริ่มต้นใน config ตัวอย่างของ OpenSSL เมื่อมีคนสร้างใบรับรองและยอมรับค่าเริ่มต้น ตัวแทนนั้นจะอยู่ในใบรับรอง live ไซต์สาธารณะ 244,468 แห่งไม่เคยเปลี่ยน
นโยบาย DMARC ในภาษาอื่นทำอะไรได้บ้าง?
ไม่มีอะไรเลย DMARC ยอมรับเฉพาะคำสำคัญที่แน่นอน none, quarantine และ reject record ที่มีคำนโยบายสะกดผิดหรือเขียนเป็นภาษาอื่นนั้นไม่ถูกต้องและถูกละเว้น — โดเมนยังคงสามารถถูกปลอมแปลงได้
SPF +all ทำอะไร? มันอนุญาตให้เซิร์ฟเวอร์ทุกเครื่องบนอินเทอร์เน็ตส่งอีเมลในนามโดเมนของคุณ — แย่กว่าไม่มี SPF เลย 36,014 โดเมนมีสิ่งนี้ เกือบทั้งหมดเป็นความผิดพลาด
สิ่งเหล่านี้เป็นกรณีที่หายากหรือไม่? ไม่ — แต่ละรายการมีหลายแสนถึงล้านโดเมน พบสม่ำเสมอข้ามสำมะโนโดเมน 261 ล้านโดเมน มันเป็นค่าเริ่มต้นทั่วไป ไม่ใช่อุบัติเหตุแปลก
ตรวจสอบว่าโดเมนของคุณไม่อยู่ในฉบับหน้า
สิ่งเหล่านี้ส่วนใหญ่เป็นการแก้ไขหนึ่งบรรทัด ตรวจสอบโดเมนของคุณอย่างเป็นส่วนตัวและฟรี — ดูใบรับรอง DMARC และ SPF ของคุณตามที่อินเทอร์เน็ตเห็น
ตรวจสอบโดเมนของคุณ → · DMARC typos → · รายงาน SPF misconfiguration → · รายงานข้อผิดพลาดใบรับรอง → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป