Defaults.Exposed › Методологія
Методологія — як ми оцінюємо
Кожен домен оцінюється за 34 перевірками (25 враховуються в оцінці + 9 інформаційних) у п'яти категоріях: безпека електронної пошти, TLS і сертифікати, веб-безпека, безпека DNS та інфраструктура. Ось як це працює — без чорної скриньки.
Як відбувається оцінювання
Кожна перевірка повертає результат пройдено, не пройдено або N/A. Оцінка домену — це частка балів, набраних за всіма застосовними перевірками, яка відповідає літерній оцінці:
| Оцінка | Бал |
|---|---|
| A+ | 95% + |
| A | 90% + |
| B | 80% + |
| C | 70% + |
| D | 60% + |
| F | нижче 60% |
Оцінки також є відносними — процентиль показує, де домен знаходиться відносно інших доменів свого TLD, а не лише за фіксованим контрольним списком.
Правило «немає даних» (N/A ніколи не вважається невдачею)
Якщо перевірку справді неможливо виконати (тайм-аут, захований запис), вона позначається як N/A і виключається з оцінки — вона ніколи не йде вам у мінус. Це відрізняється від реальної невдачі (відсутність DMARC, відсутність HTTPS), що є справжнім провалом. Домен без SPF/DMARC справедливо отримує низьку оцінку: його можна підробити.
Принципи
- Незалежно & зовні. Ми вимірюємо те, що будь-хто в інтернеті може спостерігати — без доступу до ваших систем.
- Лише зведені дані публічно. Ми публікуємо закономірності (за TLD, країною, галуззю). Оцінка окремого домену показується лише підтвердженому власнику — ніколи публічно.
- Прозоро. Повний перелік перевірок наведено нижче; виправлення безкоштовні.
- Обробляється в ЄС. Дані обробляються в Євросоюзі.
34 перевірки
Кожна перевірка, що вона означає для вашого бізнесу, і чи враховується в оцінці. Перейдіть за посиланням для повного посібника «що це вам коштує + як виправити».
Безпека електронної пошти
Чи можна видати себе за ваш домен в електронних листах і чи доходять ваші листи до адресатів.
| Перевірка | Що це означає для вашого бізнесу | Враховується в оцінці? |
|---|---|---|
| SPF-запис | Заважає шахраям надсилати листи, що нібито прийшли від вас, і допомагає вашим листам потрапляти до папки вхідних. | Враховується |
| Надійність SPF-правила | Слабкий SPF лише попереджає; суворий — реально блокує підробки. | Враховується |
| DMARC-правило | Інструкція, що наказує поштовим провайдерам відхиляти підроблені листи — основний засіб захисту від спуфінгу. | Враховується |
| Звітування DMARC | Звіти про те, хто надсилає листи від вашого імені, щоб ви помічали зловживання й помилки конфігурації. | Враховується |
| DKIM | Криптографічний підпис, що підтверджує справжність листа; покращує доставлюваність. | Враховується |
| MX-записи | Чи правильно налаштований ваш домен для отримання електронної пошти. | Враховується |
| Зворотний DNS (PTR) | Допомагає вашому поштовому серверу виглядати легітимним, щоб листи не потрапляли в спам. | Враховується |
TLS і сертифікати
Замок у браузері — чи зашифровано трафік до вашого сайту дійсним сучасним сертифікатом.
| Перевірка | Що це означає для вашого бізнесу | Враховується в оцінці? |
|---|---|---|
| Доступність HTTPS | Без нього браузери попереджають відвідувачів «Незахищено», і вони йдуть. | Враховується |
| Дійсність сертифіката | Довірений, правильно виданий сертифікат; недійсний спричиняє страшні попередження браузера. | Враховується |
| Термін дії сертифіката | Сертифікат, що закінчується, виводить ваш сайт з ладу з повносторінковим попередженням. | Враховується |
| Алгоритм підпису | Використовує сучасний, не зламаний алгоритм підпису (не застарілий SHA-1). | Враховується |
| Довжина ключа | Достатня довжина ключа, щоб шифрування не можна було зламати перебором. | Враховується |
| Версія TLS | Сучасний TLS (1.2/1.3); старі версії зламані й провалюють перевірки безпеки. | Враховується |
| Стійкість шифру | Надійне шифрування, що захищає дані під час передавання. | Враховується |
| Стиснення TLS | Стиснення вимкнено, щоб уникнути відомого класу атак. | Інформаційна |
| Зшивання OCSP | Швидша й конфіденційніша перевірка відкликання сертифікатів. | Інформаційна |
| Безпечна повторна домовленість | Захист від атаки на повторну домовленість TLS. | Інформаційна |
Веб-безпека
HTTP-заголовки, що захищають браузери ваших відвідувачів від поширених атак.
| Перевірка | Що це означає для вашого бізнесу | Враховується в оцінці? |
|---|---|---|
| HSTS | Примусово вмикає захищений замок при кожному відвідуванні, щоб клієнтів не можна було перевести на незахищене з'єднання. | Враховується |
| Переспрямування HTTP→HTTPS | Перенаправляє відвідувачів, що заходять через http, одразу на захищену версію. | Враховується |
| Content-Security-Policy | Знижує ризик того, що зламаний або впроваджений скрипт вкраде дані клієнтів із вашого сайту. | Враховується |
| Захист від клікджекінгу | Не дає зловмисникам вбудовувати ваш сайт, щоб обманути клієнтів натиснути щось. | Враховується |
| Захист від MIME-снайпінгу | Не дає браузерам неправильно інтерпретувати файли у спосіб, що можна використати для атаки. | Враховується |
| Referrer-Policy | Контролює, яка адресна інформація витікає на інші сайти, коли відвідувачі переходять за посиланнями. | Враховується |
| Міжпохідні заголовки (COOP/CORP/COEP) | Розширена ізоляція, що посилює захист від міжсайтових витоків даних. | Інформаційна |
Безпека DNS
Чи можуть основи вашого домену бути захоплені або виведені з ладу.
| Перевірка | Що це означає для вашого бізнесу | Враховується в оцінці? |
|---|---|---|
| CAA-записи | Не дає нікому, крім обраного вами провайдера, видавати SSL-сертифікати для вашого домену. | Враховується |
| DNSSEC (DS) | Заважає зловмисникам захопити ваш домен і перенаправити відвідувачів на підроблену копію сайту. | Враховується |
| DNSSEC (DNSKEY) | Підписний ключ, що забезпечує реальну роботу захисту DNSSEC. | Враховується |
| Різноманітність серверів імен | Кілька незалежних серверів імен, щоб один збій не виводив вас з мережі. | Враховується |
| Конфігурація SOA | Правильно налаштований запис DNS «початок авторитативної зони». | Враховується |
| Підтримка IPv6 | Доступність через сучасний інтернет-протокол. | Інформаційна |
Інфраструктура
Контекст про місце і спосіб хостингу вашого сайту (інформаційний — ці перевірки ніколи не змінюють вашу оцінку).
| Перевірка | Що це означає для вашого бізнесу | Враховується в оцінці? |
|---|---|---|
| Виявлення CDN / WAF | Чи захищає ваш сайт мережа доставки контенту / веб-аплікаційний фаєрвол. | Інформаційна |
| Хостинг-провайдер | Визначає, де розміщений ваш сайт. | Інформаційна |
Хочете дізнатися, де ваш домен знаходиться за всіма 34? Запустити безкоштовну перевірку → (конфіденційно; оцінку домену ми показуємо лише підтвердженому власнику).