Defaults.Exposed

Defaults.Exposed › Звіти

Зала слави хибних налаштувань: найдивніші записи безпеки в інтернеті (2026)

Опубліковано 2026-06-29

Цифри станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. Кожна цифра нижче — це реальний, повторюваний патерн, а не поодинокий випадок. Дивіться як ми оцінюємо.

Більшість збоїв безпеки нудні: налаштування залишили вимкненим. Кілька з них справді кумедні — цифровий еквівалент здачі будівлі з табличкою «ВКАЖІТЬ ІМ’Я ОРЕНДАРЯ», яка досі у вікні. Ми оцінили 261 мільйонів доменів; ось рекорди, які змусили нас придивитися двічі.

1. Сертифікат, який ніхто не перейменував

Коли ви генеруєте сертифікат TLS зі стандартними підказками OpenSSL і просто тиснете enter, ім’я організації стає заповнювачем. Ці заповнювачі мають бути замінені перед запуском. Їх не замінили:

Ім’я «Виданий» на чинному сертифікатіСайти
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» — це буквальне значення за замовчуванням у прикладі конфігурації OpenSSL, і 244,468 публічних сайтів обслуговують сертифікат, проштампований ним. По всіх очевидних заповнювачах і стандартних іменах 685,732 сайтів так і не змінили табличку. Кожен із них також самопідписаний, тож відвідувачі отримують попередження браузера — вони видають і заповнювач, і помилку.

2. DMARC, втрачений у перекладі

Політика DMARC працює лише тоді, коли вона читається точно як p=none, p=quarantine або p=reject. 48,648 доменів опублікували щось інше — слово політики написане з помилкою або зовсім іншою мовою (реальні дані містять іспанські, французькі та португальські варіанти слова «none»). Намір був правильний; точне написання — ні, а DMARC приймає лише англійське ключове слово, тож усі вони надають нульовий захист. (Повний актуальний список із кількістю: найпоширеніші друкарські помилки DMARC в інтернеті.)

3. Вітальний килимок SPF

Уся робота SPF полягає в тому, щоб вказати, які сервери можуть надсилати пошту від вашого імені. 36,014 доменів завершують свій запис на +all — що означає прямо протилежне: «будь-який сервер в інтернеті уповноважений надсилати від мого імені.» Це безпековий еквівалент приклеювання ключа до дверей. Ще 7,958 тихо ламають свій SPF, перевищуючи ліміт у 10 DNS-запитів, чим повністю скасовують його. (Докладніше: звіт про неправильну конфігурацію SPF.)

4. Почесна згадка: самопідписані мільйони

Окрім кумедних імен, 3,378,080 сайтів обслуговують самопідписаний сертифікат — той, який вони видали самі собі і який браузери відхиляють. Зазвичай це маршрутизатор, тестовий пристрій або внутрішній інструмент, який випадково спрямували в публічний інтернет і який так і не отримав справжнього сертифіката.

Що спільного у кумедних випадків

Кожен запис тут має ту саму першопричину, що й нудні збої: значення за замовчуванням, яке не чіпали, пропущений крок, незавершене копіювання-вставлення. Веб не зазнає краху драматично — він зазнає краху через інерцію, по одному неперейменованому заповнювачу за раз. Хороша новина: кожне з цього — це виправлення на п’ять хвилин.

Поширені запитання

Чому так багато сертифікатів містять «Internet Widgits Pty Ltd»? Це ім’я організації за замовчуванням у прикладі конфігурації OpenSSL. Коли хтось генерує сертифікат і приймає значення за замовчуванням, цей заповнювач потрапляє на чинний сертифікат. 244,468 публічних сайтів так і не змінили його.

Чи робить щось політика DMARC іншою мовою? Ні. DMARC розпізнає лише точні ключові слова none, quarantine та reject. Запис зі словом політики, написаним з помилкою чи іншою мовою, є недійсним та ігнорується — домен залишається вразливим до підробки.

Що робить SPF +all? Він уповноважує кожен сервер в інтернеті надсилати електронну пошту від імені вашого домену — гірше, ніж не мати SPF взагалі. 36,014 доменів мають його, майже завжди помилково.

Чи це рідкісні граничні випадки? Ні — кожен охоплює від сотень тисяч до мільйонів доменів, які стабільно виявляються в переписі з 261 мільйонів доменів. Це поширені значення за замовчуванням, а не дивні випадковості.

Перевірте, щоб вашого домену не було в наступному виданні

Більшість із цього — виправлення в один рядок. Перевірте свій домен приватно та безкоштовно — побачте свій сертифікат, DMARC та SPF саме так, як їх бачить інтернет.

Перевірте свій домен → · Друкарські помилки DMARC → · Звіт про неправильну конфігурацію SPF → · Звіт про помилки сертифіката → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.