Defaults.Exposed › Звіти
Чи працює обов'язковий DNSSEC? Що показує впровадження, кероване реєстратурою (2026)
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів за національним закінченням домену (показник політики реєстру, а не місцезнаходження компанії). «Стимульоване реєстром» = реєстр цього закінчення активно просуває DNSSEC через стимули або вимоги — здебільшого стимули для реєстраторів, а не законодавчі вимоги. «Дійсний» = ланцюжок DNSSEC, що проходить перевірку; «зламаний» = підписаний, але такий, що не проходить перевірку. Дивіться як ми оцінюємо.
Чи справді змушення реєстраторів просувати DNSSEC підвищує впровадження? Так — рішуче — але з пересторогою. На закінченнях, реєстри яких стимулюють DNSSEC, 9.1% доменів мають дійсний підпис, проти лише 1.3% на закінченнях, що залишають це власникам — приблизно у 7× більше. Політика працює там, де добровільне впровадження застигає. Перестороги: навіть серед лідерів більше доменів ламають DNSSEC, ніж налаштовують його правильно — тож тиск реєстру вирішує проблему увімкнення, а не правильного налаштування.
Чи підвищує просування DNSSEC впровадження?
Однозначно. Стимульовані реєстром національні закінчення групуються близько 10–18% дійсного DNSSEC; закінчення в режимі невтручання перебувають поблизу глобального мінімуму 1.99%. Вищий відсоток дійсних — краще; відсоток зламаних — це ціна помилок. Станом на 2026-06-29:
| Закінчення | Позиція реєстру | DNSSEC дійсний | Зламаний |
|---|---|---|---|
| .se (Швеція) | Стимульоване (стимули реєстраторам) | 18.38% | 30.35% |
| .no (Норвегія) | Стимульоване | 16.59% | 25.24% |
| .sk (Словаччина) | Стимульоване | 16.61% | 25.59% |
| .cz (Чехія) | Стимульоване (стимули реєстраторам) | 14.62% | 26.28% |
| .nl (Нідерланди) | Стимульоване (стимули реєстраторам) | 11.86% | 22.98% |
| .fr (Франція) | Стимульоване | 5.13% | 9.54% |
| .com | Невтручання | 1.62% | 2.44% |
| .de (Німеччина) | Невтручання | 0.92% | 1.60% |
| .uk (Велика Британія) | Невтручання | 1.06% | 1.72% |
18.38% Швеції більш ніж удесятеро перевищують 1.62% .com. Розрив не в технології — протокол скрізь однаковий — він у тому, чи мав хтось у ланцюжку причину його розгорнути.
Перестороги: зламаного більше, ніж робочого
Ось незручна половина. У кожному стимульованому реєстром закінченні вище частка зламаних вища за частку дійсних — Швеція має 30.35% зламаних проти 18.38% дійсних; Нідерланди 22.98% проти 11.86%. По всіх стимульованих закінченнях це 15.7% зламаних проти 9.1% дійсних.
Це важливо, бо зламаний DNSSEC не є нешкідливим: резолвер, що перевіряє, відмовиться розв’язувати домен, чиї підписи не проходять перевірку, тож хибна конфігурація може вивести домен офлайн — і вебсайт, і пошту — для частини інтернету. Стимулювання впровадження без стимулювання правильності масштабує збої поряд із захистом. Це та сама проблема виконання, яку демонструє увесь вебпростір у парадоксі DNSSEC, лише посилена там, де більше доменів намагаються це зробити.
Чому політика реєстру кращa за залишення це власникам
DNSSEC не має жодної примусової події для окремого власника: ніщо не ламається й не попереджає, якщо ви його пропустите, тож на закінченні в режимі невтручання, як-от .com, впровадження залишається рівним поблизу 1.62% нескінченно. Реєстри, що вирвалися з цього, зробили це через економіку, а не укази — зазвичай стимули реєстраторам (знижки або компенсації за підписання зон) плюс автоматизація провайдера, саме так скандинавські, чеський та нідерландський реєстри підняли все своє населення доменів. Це чистий природний експеримент: той самий протокол, та сама складність, дуже різні результати — і різниця в політиці реєстру.
Мандат чи стимул — що насправді зрушує справу?
Здебільшого стимул. Попри формулювання «обов’язковий», з яким зазвичай ставлять це питання, закінчення з високим впровадженням тут переважно заохочують DNSSEC, а не вимагають його законодавчо; жорсткі мандати трапляються рідше (деякі уряди вимагають його для доменів державного сектору). Урок для будь-якого реєстру: узгодження економіки реєстраторів та автоматизації в бік підписання працює — але це слід поєднувати з керованим підписанням та зміною ключів, інакше ви просто виробляєте більше зламаних зон.
Поширені запитання
Чи справді вимога або стимулювання DNSSEC підвищує впровадження? Так — приблизно у 7× у наших даних: 9.1% дійсних на стимульованих реєстром закінченнях проти 1.3% на закінченнях невтручання, станом на 2026-06-29.
Яка країна чи TLD має найбільше DNSSEC?
Серед великих закінчень лідирує Швеція (.se) з 18.38% дійсних — більш ніж удесятеро перевищуючи 1.62% .com.
Якщо впровадження вище, чи зроблено DNSSEC правильно? Часто ні. У кожному закінченні з високим впровадженням зламаного DNSSEC більше, ніж дійсного (15.7% проти 9.1% по всіх стимульованих закінченнях) — а зламаний DNSSEC може вивести домен офлайн.
Чи варто малому бізнесу вмикати DNSSEC? Лише якщо ним правильно керують — зламаний підпис гірший за його відсутність. Використовуйте провайдера, який забезпечує підписання та зміну ключів, і переконайтеся, що він проходить перевірку. Дивіться як виправити DNSSEC.
Перевірте DNS свого домену
Дізнайтеся, чи ваш DNSSEC дійсний, зламаний або відсутній — і решту вашого стану захисту — приватно й безкоштовно.
Перевірте свій домен → · Парадокс DNSSEC → · Хто керує DNS інтернету? → · Виправити DNSSEC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.