Defaults.Exposed

Defaults.Exposed › Raporlar

Yanlış Yapılandırma Onur Listesi: Web'in En Tuhaf Güvenlik Kayıtları (2026)

Yayımlanma 2026-06-29

2026-06-29 tarihli rakamlar · metodoloji v7. 261 milyon notlandırılmış alan adı genelinde toplu sayım verileri. Aşağıdaki her rakam gerçek, yinelenen bir kalıptır — tek seferlik bir durum değil. Bkz. nasıl notlandırıyoruz.

Çoğu güvenlik hatası sıkıcıdır: kapalı bırakılmış bir ayar. Birkaçı ise gerçekten komiktir — binayı vitrinde hâlâ “KİRACI ADINI GİRİN” tabelası dururken teslim etmenin dijital karşılığı. 261 milyon alan adını notlandırdık; işte bize iki kez baktıran rekorlar.

1. Kimsenin yeniden adlandırmadığı sertifika

OpenSSL’in varsayılan istemleriyle bir TLS sertifikası oluşturup yalnızca Enter’a bastığınızda, kuruluş adı bir yer tutucuya dönüşür. Bu yer tutucuların yayına geçmeden önce değiştirilmesi gerekir. Değiştirilmediler:

Canlı sertifikadaki “Veren” adıSiteler
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

“Internet Widgits Pty Ltd”, OpenSSL’in örnek yapılandırmasındaki gerçek varsayılan değerdir — ve 244,468 herkese açık site bununla damgalanmış bir sertifika sunuyor. Tüm bariz yer tutucu ve varsayılan adlar genelinde, 685,732 site tabelayı hiç değiştirmedi. Bunların her biri aynı zamanda kendinden imzalıdır, dolayısıyla ziyaretçiler bir tarayıcı uyarısı alır — hem yer tutucuyu hem de hatayı sunuyorlar.

2. Çeviride kaybolan DMARC

Bir DMARC politikası yalnızca tam olarak p=none, p=quarantine veya p=reject yazıyorsa çalışır. 48,648 alan adı başka bir şey yayımladı — politika sözcüğü yanlış yazılmış ya da tamamen başka bir dilde yazılmış (canlı veriler “none” sözcüğünün İspanyolca, Fransızca ve Portekizce biçimlerini içeriyor). Niyet doğruydu; tam yazım değildi — ve DMARC yalnızca İngilizce anahtar sözcüğü kabul eder, dolayısıyla bunların hepsi sıfır koruma sağlar. (Sayılarıyla birlikte tam ve güncel liste: internetteki en yaygın DMARC yazım hataları.)

3. SPF karşılama paspası

SPF’nin tek görevi, sizin adınıza hangi sunucuların posta gönderebileceğini belirtmektir. 36,014 alan adı kaydını +all ile bitiriyor — bu da tam tersi anlama gelir: “internetteki her sunucu benim adıma göndermeye yetkilidir.” Bu, güvenlik açısından anahtarınızı kapıya bantlamanın karşılığıdır. Başka 7,958 tanesi ise 10 DNS aramalı sınırı aşarak SPF’lerini sessizce bozuyor ve tümüyle geçersiz kılıyor. (Daha fazlası: SPF yanlış yapılandırma raporu.)

4. Onurlandırıcı bahsetme: kendinden imzalı milyonlar

Komik adların ötesinde, 3,378,080 site kendinden imzalı bir sertifika sunuyor — kendilerine kendileri verdikleri ve tarayıcıların reddettiği bir sertifika. Genellikle yanlışlıkla herkese açık internete yönlendirilmiş ve hiç gerçek bir sertifika almamış bir yönlendirici, bir test kutusu ya da bir dahili araç.

Komik olanların ortak yanı

Buradaki her giriş, sıkıcı hatalarla aynı kök nedene sahiptir: dokunulmamış bir varsayılan, atlanmış bir adım, tamamlanmamış bir kopyala-yapıştır. Web dramatik biçimde başarısız olmaz — atalet yüzünden başarısız olur, her seferinde yeniden adlandırılmamış bir yer tutucuyla. İyi yanı: bunların her biri beş dakikalık bir düzeltmedir.

Sıkça sorulan sorular

Neden bu kadar çok sertifikada “Internet Widgits Pty Ltd” yazıyor? Bu, OpenSSL’in örnek yapılandırmasındaki varsayılan kuruluş adıdır. Biri bir sertifika oluşturup varsayılanları kabul ettiğinde, o yer tutucu canlı sertifikaya işlenir. 244,468 herkese açık site bunu hiç değiştirmedi.

Başka bir dildeki DMARC politikası bir işe yarar mı? Hayır. DMARC yalnızca tam olarak none, quarantine ve reject anahtar sözcüklerini tanır. Politika sözcüğü yanlış yazılmış ya da başka bir dilde yazılmış bir kayıt geçersizdir ve yok sayılır — alan adı taklit edilebilir kalır.

SPF +all ne yapar? İnternetteki her sunucuya alan adınız adına e-posta gönderme yetkisi verir — hiç SPF olmamasından daha kötüdür. 36,014 alan adında bu var, neredeyse her zaman yanlışlıkla.

Bunlar nadir, uç durumlar mı? Hayır — her biri yüz binlerce ila milyonlarca alan adına karşılık gelir ve 261 milyon alan adlık bir sayım genelinde tutarlı biçimde bulunmuştur. Bunlar yaygın varsayılanlardır, tuhaf kazalar değil.

Alan adınızın bir sonraki sayıda olmadığından emin olun

Bunların çoğu tek satırlık düzeltmelerdir. Alan adınızı özel ve ücretsiz olarak kontrol edin — sertifikanızı, DMARC’ınızı ve SPF’nizi tam olarak internetin gördüğü gibi görün.

Alan adınızı kontrol edin → · DMARC yazım hataları → · SPF yanlış yapılandırma raporu → · Sertifika hatası raporu → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.