Defaults.Exposed

Defaults.Exposed › Звіти

Чи працює обов'язковий DNSSEC? Що показує впровадження, кероване реєстратурою (2026)

Опубліковано 2026-06-29

Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів за національним закінченням домену (показник політики реєстру, а не місцезнаходження компанії). «Стимульоване реєстром» = реєстр цього закінчення активно просуває DNSSEC через стимули або вимоги — здебільшого стимули для реєстраторів, а не законодавчі вимоги. «Дійсний» = ланцюжок DNSSEC, що проходить перевірку; «зламаний» = підписаний, але такий, що не проходить перевірку. Дивіться як ми оцінюємо.

Чи справді змушення реєстраторів просувати DNSSEC підвищує впровадження? Так — рішуче — але з пересторогою. На закінченнях, реєстри яких стимулюють DNSSEC, 9.1% доменів мають дійсний підпис, проти лише 1.3% на закінченнях, що залишають це власникам — приблизно у 7× більше. Політика працює там, де добровільне впровадження застигає. Перестороги: навіть серед лідерів більше доменів ламають DNSSEC, ніж налаштовують його правильно — тож тиск реєстру вирішує проблему увімкнення, а не правильного налаштування.

Чи підвищує просування DNSSEC впровадження?

Однозначно. Стимульовані реєстром національні закінчення групуються близько 10–18% дійсного DNSSEC; закінчення в режимі невтручання перебувають поблизу глобального мінімуму 1.99%. Вищий відсоток дійсних — краще; відсоток зламаних — це ціна помилок. Станом на 2026-06-29:

ЗакінченняПозиція реєструDNSSEC дійснийЗламаний
.se (Швеція)Стимульоване (стимули реєстраторам)18.38%30.35%
.no (Норвегія)Стимульоване16.59%25.24%
.sk (Словаччина)Стимульоване16.61%25.59%
.cz (Чехія)Стимульоване (стимули реєстраторам)14.62%26.28%
.nl (Нідерланди)Стимульоване (стимули реєстраторам)11.86%22.98%
.fr (Франція)Стимульоване5.13%9.54%
.comНевтручання1.62%2.44%
.de (Німеччина)Невтручання0.92%1.60%
.uk (Велика Британія)Невтручання1.06%1.72%

18.38% Швеції більш ніж удесятеро перевищують 1.62% .com. Розрив не в технології — протокол скрізь однаковий — він у тому, чи мав хтось у ланцюжку причину його розгорнути.

Перестороги: зламаного більше, ніж робочого

Ось незручна половина. У кожному стимульованому реєстром закінченні вище частка зламаних вища за частку дійсних — Швеція має 30.35% зламаних проти 18.38% дійсних; Нідерланди 22.98% проти 11.86%. По всіх стимульованих закінченнях це 15.7% зламаних проти 9.1% дійсних.

Це важливо, бо зламаний DNSSEC не є нешкідливим: резолвер, що перевіряє, відмовиться розв’язувати домен, чиї підписи не проходять перевірку, тож хибна конфігурація може вивести домен офлайн — і вебсайт, і пошту — для частини інтернету. Стимулювання впровадження без стимулювання правильності масштабує збої поряд із захистом. Це та сама проблема виконання, яку демонструє увесь вебпростір у парадоксі DNSSEC, лише посилена там, де більше доменів намагаються це зробити.

Чому політика реєстру кращa за залишення це власникам

DNSSEC не має жодної примусової події для окремого власника: ніщо не ламається й не попереджає, якщо ви його пропустите, тож на закінченні в режимі невтручання, як-от .com, впровадження залишається рівним поблизу 1.62% нескінченно. Реєстри, що вирвалися з цього, зробили це через економіку, а не укази — зазвичай стимули реєстраторам (знижки або компенсації за підписання зон) плюс автоматизація провайдера, саме так скандинавські, чеський та нідерландський реєстри підняли все своє населення доменів. Це чистий природний експеримент: той самий протокол, та сама складність, дуже різні результати — і різниця в політиці реєстру.

Мандат чи стимул — що насправді зрушує справу?

Здебільшого стимул. Попри формулювання «обов’язковий», з яким зазвичай ставлять це питання, закінчення з високим впровадженням тут переважно заохочують DNSSEC, а не вимагають його законодавчо; жорсткі мандати трапляються рідше (деякі уряди вимагають його для доменів державного сектору). Урок для будь-якого реєстру: узгодження економіки реєстраторів та автоматизації в бік підписання працює — але це слід поєднувати з керованим підписанням та зміною ключів, інакше ви просто виробляєте більше зламаних зон.

Поширені запитання

Чи справді вимога або стимулювання DNSSEC підвищує впровадження? Так — приблизно у 7× у наших даних: 9.1% дійсних на стимульованих реєстром закінченнях проти 1.3% на закінченнях невтручання, станом на 2026-06-29.

Яка країна чи TLD має найбільше DNSSEC? Серед великих закінчень лідирує Швеція (.se) з 18.38% дійсних — більш ніж удесятеро перевищуючи 1.62% .com.

Якщо впровадження вище, чи зроблено DNSSEC правильно? Часто ні. У кожному закінченні з високим впровадженням зламаного DNSSEC більше, ніж дійсного (15.7% проти 9.1% по всіх стимульованих закінченнях) — а зламаний DNSSEC може вивести домен офлайн.

Чи варто малому бізнесу вмикати DNSSEC? Лише якщо ним правильно керують — зламаний підпис гірший за його відсутність. Використовуйте провайдера, який забезпечує підписання та зміну ключів, і переконайтеся, що він проходить перевірку. Дивіться як виправити DNSSEC.

Перевірте DNS свого домену

Дізнайтеся, чи ваш DNSSEC дійсний, зламаний або відсутній — і решту вашого стану захисту — приватно й безкоштовно.

Перевірте свій домен → · Парадокс DNSSEC → · Хто керує DNS інтернету? → · Виправити DNSSEC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.