Defaults.Exposed › Звіти
Як ми оцінили весь інтернет: методологія оцінки безпеки доменів від A–F (2026)
Опубліковано 2026-06-28
Довідкова сторінка · методологія v7 · дані станом на 2026-06-28. Ця сторінка пояснює, як отримується кожне число на цьому сайті. Уся опублікована статистика є агрегованою; оцінка окремого домену показується лише його підтвердженому власнику.
Defaults.Exposed оцінює домени від A+ до F на основі 34 зовнішньо спостережуваних перевірок безпеки, оцінюваних повністю з публічного інтернету — без жодного дотику до чиїхось систем. Ця сторінка є повним, зрозумілим викладом того, як це працює: що ми вимірюємо, як обчислюється оцінка, що дані можуть і не можуть вам сказати, та етичні правила, яких ми дотримуємося. Вона навмисно прозора, адже оцінка безпеки заслуговує довіри настільки, наскільки надійним є метод, що стоїть за нею.
Що ми вимірюємо
Кожен домен оцінюється за 34 перевірками, згрупованими у п’ять категорій. Кожна перевірка — це те, що будь-хто міг би спостерігати ззовні — жодного сканування приватних систем, жодного входу, жодного вторгнення.
- Автентифікація електронної пошти — чи можна підробити цей домен у пошті? Включає SPF, DKIM, DMARC (і чи DMARC справді перебуває в режимі примусового виконання), та налаштування пошти (MX).
- TLS та сертифікати — чи сайт зашифровано належним чином? Включає дійсність сертифіката та відповідність імені хоста, сучасні версії TLS і HSTS.
- Веб-заголовки безпеки — чи захищає сайт браузер? Включає Content-Security-Policy, захист від клікджекінгу (X-Frame-Options), захист від MIME-sniffing, Referrer-Policy і заголовки cross-origin.
- DNS — чи зміцнено рівень іменування? Включає DNSSEC, CAA та конфігурацію сервера імен.
- Інфраструктура — допоміжні сигнали, як-от зворотний DNS і підтримка IPv6.
З 34 перевірок частина є оцінюваними (вони впливають на оцінку), а решта — інформаційними (повідомляються для контексту, але не штрафуються).
Як оцінюється перевірка: пройдено, не пройдено чи незастосовно
Кожна перевірка завершується одним із трьох результатів:
- Пройдено — захист присутній і коректний.
- Не пройдено — захист відсутній або несправний. Реальна невдача є реальною невдачею: домен без примусово застосованих SPF і DMARC отримує низьку оцінку, бо його справді можна підробити, а не через те, як ми рахували.
- Незастосовно — перевірку справді неможливо визначити для цього домену. Результати «незастосовно» виключаються з оцінки; вони ніколи не зараховуються проти домену.
Цей останній момент важливий: ми не караємо домен за те, що не змогли справедливо оцінити.
Як обчислюється літерна оцінка
Оцінки коливаються від A+, A, B, C, D, F. Оцінка відображає, наскільки повно домен закриває значущі прогалини — зважена в бік перевірок із найбільшим реальним впливом (підробка пошти й безпека передавання мають більшу вагу, ніж косметичні заголовки). Домен, який правильно реалізує високовпливові основи й залишає лише незначні прогалини, опиняється високо; домен, який провалює базові речі, що дозволяють його підробити, опиняється на F.
Оскільки той самий метод застосовується ідентично до кожного домену, оцінки є порівнянними по всій сукупності — саме це робить турнірні таблиці (за TLD, країною та галуззю) значущими.
Наскільки великий набір даних?
Ми відстежуємо інвентар із 333 мільйонів доменів і оцінюємо живу сукупність із приблизно 260 мільйонів, які наразі розв’язуються (resolve). Опублікована статистика обчислюється з цієї сукупності під час збирання й несе дату актуальності набору даних, тож ви завжди знаєте, наскільки свіже те чи інше число.
Наскільки актуальні дані?
Флот сканування працює безперервно. Уся сукупність оновлюється з регулярною періодичністю, причому деякі TLD переміряються частіше, тож числа на цьому сайті є живим вимірюванням, а не одноразовим знімком. Кожен звіт показує свою дату актуальності, а флагманські дослідження публікуються як повторювані видання, щоб тенденції можна було відстежувати з часом.
Що дані можуть — і не можуть — вам сказати
Ми вважаємо, що обмеження важать не менше, ніж висновки:
- Географія та галузь виводяться із закінчення домену, а не з реєстрації компанії. Цифри країни базуються на її національному закінченні домену (ccTLD); цифри галузі базуються на специфічних для галузі закінченнях. Фірму, яка використовує загальне закінчення на кшталт
.com, неможливо віднести до країни чи сектору в такому масштабі. Ці сегменти «достатньо точні», щоб порівнювати сукупності, з зазначеним застереженням. - Ми вимірюємо домени, а не організації. Одна компанія може володіти багатьма доменами; ми оцінюємо кожен домен за його власною конфігурацією.
- Лише зовнішній погляд. Ми оцінюємо те, що спостерігається з публічного інтернету. Ми не бачимо й не намагаємося побачити нічого за входом у систему.
Наші правила: лише агреговано, приватно для власника, резиденція в ЄС
Три зобов’язання керують усім, що ми публікуємо:
- Лише агреговано. Ми публікуємо закономірності сукупності — турнірні таблиці за TLD, за країною, за галуззю. Ми ніколи не публікуємо проіндексовану сторінку, що називає окремий бізнес та його оцінку.
- Приватно для власника. Оцінка окремого домену та розбивка за перевірками показуються лише підтвердженому власнику, який його перевіряє.
- Резиденція даних у ЄС. Усі дані зберігаються та обробляються в межах ЄС — і позиція відповідності, і навмисне зобов’язання довіри.
Поширені запитання
Як Defaults.Exposed обчислює оцінку безпеки домену? Виконуючи 34 зовнішньо спостережувані перевірки (автентифікація пошти, TLS, веб-заголовки, DNS та інфраструктура), оцінюючи кожну як пройдено / не пройдено / незастосовно та зважуючи їх у бік реального впливу, щоб отримати оцінку від A+ до F.
Чи скануєте або зламуєте ви домени, які оцінюєте? Ні. Кожна перевірка спостережувана з публічного інтернету — та сама інформація, яку побачив би поштовий сервер-одержувач або браузер відвідувача. Жодного входу, вторгнення чи доступу до приватних систем.
Чому домен може отримати F? Найчастіше через те, що він не має примусово застосованих SPF і DMARC і тому може бути підроблений у пошті — реальна, зовнішньо перевірювана вразливість.
Чи можу я побачити оцінку домену конкретної компанії? Лише якщо це ваш власний домен і ви підтверджуєте право власності. Ми ніколи не публікуємо оцінки окремих компаній.
Як часто оновлюються дані? Безперервно. Уся сукупність оновлюється з регулярною періодичністю, і кожне число датоване «датою актуальності», тож ви знаєте, наскільки воно свіже.
Перевірте домен самостійно
Найшвидший спосіб зрозуміти метод — запустити його. Перевірте власний домен приватно й безкоштовно та побачте всі 34 перевірки, оцінені зі зрозумілими поясненнями та виправленнями.
Перевірте свій домен → · Крива оцінок інтернету → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.