Defaults.Exposed › Звіти
Зала слави хибних налаштувань: найдивніші записи безпеки в інтернеті (2026)
Опубліковано 2026-06-29
Цифри станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. Кожна цифра нижче — це реальний, повторюваний патерн, а не поодинокий випадок. Дивіться як ми оцінюємо.
Більшість збоїв безпеки нудні: налаштування залишили вимкненим. Кілька з них справді кумедні — цифровий еквівалент здачі будівлі з табличкою «ВКАЖІТЬ ІМ’Я ОРЕНДАРЯ», яка досі у вікні. Ми оцінили 261 мільйонів доменів; ось рекорди, які змусили нас придивитися двічі.
1. Сертифікат, який ніхто не перейменував
Коли ви генеруєте сертифікат TLS зі стандартними підказками OpenSSL і просто тиснете enter, ім’я організації стає заповнювачем. Ці заповнювачі мають бути замінені перед запуском. Їх не замінили:
| Ім’я «Виданий» на чинному сертифікаті | Сайти |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
«Internet Widgits Pty Ltd» — це буквальне значення за замовчуванням у прикладі конфігурації OpenSSL, і 244,468 публічних сайтів обслуговують сертифікат, проштампований ним. По всіх очевидних заповнювачах і стандартних іменах 685,732 сайтів так і не змінили табличку. Кожен із них також самопідписаний, тож відвідувачі отримують попередження браузера — вони видають і заповнювач, і помилку.
2. DMARC, втрачений у перекладі
Політика DMARC працює лише тоді, коли вона читається точно як p=none, p=quarantine або p=reject. 48,648 доменів опублікували щось інше — слово політики написане з помилкою або зовсім іншою мовою (реальні дані містять іспанські, французькі та португальські варіанти слова «none»). Намір був правильний; точне написання — ні, а DMARC приймає лише англійське ключове слово, тож усі вони надають нульовий захист. (Повний актуальний список із кількістю: найпоширеніші друкарські помилки DMARC в інтернеті.)
3. Вітальний килимок SPF
Уся робота SPF полягає в тому, щоб вказати, які сервери можуть надсилати пошту від вашого імені. 36,014 доменів завершують свій запис на +all — що означає прямо протилежне: «будь-який сервер в інтернеті уповноважений надсилати від мого імені.» Це безпековий еквівалент приклеювання ключа до дверей. Ще 7,958 тихо ламають свій SPF, перевищуючи ліміт у 10 DNS-запитів, чим повністю скасовують його. (Докладніше: звіт про неправильну конфігурацію SPF.)
4. Почесна згадка: самопідписані мільйони
Окрім кумедних імен, 3,378,080 сайтів обслуговують самопідписаний сертифікат — той, який вони видали самі собі і який браузери відхиляють. Зазвичай це маршрутизатор, тестовий пристрій або внутрішній інструмент, який випадково спрямували в публічний інтернет і який так і не отримав справжнього сертифіката.
Що спільного у кумедних випадків
Кожен запис тут має ту саму першопричину, що й нудні збої: значення за замовчуванням, яке не чіпали, пропущений крок, незавершене копіювання-вставлення. Веб не зазнає краху драматично — він зазнає краху через інерцію, по одному неперейменованому заповнювачу за раз. Хороша новина: кожне з цього — це виправлення на п’ять хвилин.
Поширені запитання
Чому так багато сертифікатів містять «Internet Widgits Pty Ltd»? Це ім’я організації за замовчуванням у прикладі конфігурації OpenSSL. Коли хтось генерує сертифікат і приймає значення за замовчуванням, цей заповнювач потрапляє на чинний сертифікат. 244,468 публічних сайтів так і не змінили його.
Чи робить щось політика DMARC іншою мовою?
Ні. DMARC розпізнає лише точні ключові слова none, quarantine та reject. Запис зі словом політики, написаним з помилкою чи іншою мовою, є недійсним та ігнорується — домен залишається вразливим до підробки.
Що робить SPF +all? Він уповноважує кожен сервер в інтернеті надсилати електронну пошту від імені вашого домену — гірше, ніж не мати SPF взагалі. 36,014 доменів мають його, майже завжди помилково.
Чи це рідкісні граничні випадки? Ні — кожен охоплює від сотень тисяч до мільйонів доменів, які стабільно виявляються в переписі з 261 мільйонів доменів. Це поширені значення за замовчуванням, а не дивні випадковості.
Перевірте, щоб вашого домену не було в наступному виданні
Більшість із цього — виправлення в один рядок. Перевірте свій домен приватно та безкоштовно — побачте свій сертифікат, DMARC та SPF саме так, як їх бачить інтернет.
Перевірте свій домен → · Друкарські помилки DMARC → · Звіт про неправильну конфігурацію SPF → · Звіт про помилки сертифіката → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.