Defaults.Exposed › Báo cáo
Bảng vàng Cấu hình sai: Những kỷ lục bảo mật kỳ quặc nhất của web (2026)
Đã xuất bản 2026-06-29
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra tổng hợp trên 261 triệu tên miền đã được chấm điểm. Mỗi con số dưới đây là một mẫu hình thực tế, lặp lại — không phải trường hợp đơn lẻ. Xem cách chúng tôi chấm điểm.
Hầu hết các thất bại bảo mật đều nhàm chán: một cài đặt bị bỏ tắt. Một vài cái thực sự buồn cười — tương đương kỹ thuật số của việc bàn giao tòa nhà mà tấm biển «ĐIỀN TÊN NGƯỜI THUÊ» vẫn còn ở cửa sổ. Chúng tôi đã chấm điểm 261 triệu tên miền; đây là những kỷ lục khiến chúng tôi phải nhìn lại lần thứ hai.
1. Chứng chỉ không ai đổi tên
Khi bạn tạo một chứng chỉ TLS với các lời nhắc mặc định của OpenSSL và chỉ nhấn enter, tên tổ chức trở thành một chỗ giữ chỗ. Những chỗ giữ chỗ này lẽ ra phải được thay thế trước khi đưa vào hoạt động. Chúng đã không được thay:
| Tên «Cấp bởi» trên chứng chỉ đang hoạt động | Trang web |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
«Internet Widgits Pty Ltd» là giá trị mặc định theo nghĩa đen trong cấu hình ví dụ của OpenSSL — và 244,468 trang web công khai đang phục vụ một chứng chỉ in dấu nó. Trên tất cả các tên giữ chỗ và mặc định rõ ràng, 685,732 trang web chưa bao giờ đổi tấm biển. Mỗi trang trong số đó cũng đều tự ký, nên khách truy cập nhận được cảnh báo của trình duyệt — họ vừa phục vụ chỗ giữ chỗ vừa phục vụ lỗi.
2. DMARC, thất lạc trong bản dịch
Một chính sách DMARC chỉ hoạt động nếu nó đọc chính xác p=none, p=quarantine, hoặc p=reject. 48,648 tên miền đã công bố thứ gì đó khác — từ chính sách bị viết sai chính tả, hoặc viết bằng một ngôn ngữ hoàn toàn khác (dữ liệu thực tế bao gồm các biến thể tiếng Tây Ban Nha, tiếng Pháp và tiếng Bồ Đào Nha của «none»). Ý định thì đúng; cách viết chính xác thì không — và DMARC chỉ chấp nhận từ khóa tiếng Anh, nên tất cả chúng đều không cung cấp sự bảo vệ nào. (Danh sách đầy đủ, hiện tại kèm số lượng: những lỗi chính tả DMARC phổ biến nhất của internet.)
3. Tấm thảm chào mừng của SPF
Toàn bộ nhiệm vụ của SPF là cho biết máy chủ nào được phép gửi thư với danh nghĩa của bạn. 36,014 tên miền kết thúc bản ghi của họ bằng +all — điều này có nghĩa hoàn toàn ngược lại: «bất kỳ máy chủ nào trên internet đều được phép gửi với danh nghĩa của tôi.» Đó là tương đương về bảo mật của việc dán chìa khóa lên cửa. Thêm 7,958 tên miền âm thầm làm hỏng SPF của họ bằng cách vượt quá giới hạn 10 lượt tra cứu DNS, vô hiệu hóa hoàn toàn nó. (Thêm: báo cáo cấu hình sai SPF.)
4. Đề cập danh dự: hàng triệu chứng chỉ tự ký
Ngoài những cái tên buồn cười, 3,378,080 trang web phục vụ một chứng chỉ tự ký — chứng chỉ mà họ tự cấp cho chính mình, và trình duyệt từ chối. Thường là một bộ định tuyến, một máy thử nghiệm, hoặc một công cụ nội bộ vô tình bị hướng ra internet công khai và chưa bao giờ có được chứng chỉ thật.
Điểm chung của những cái buồn cười
Mỗi mục ở đây đều có cùng nguyên nhân gốc rễ như những thất bại nhàm chán: một giá trị mặc định để nguyên không động tới, một bước bị bỏ qua, một thao tác sao chép-dán chưa hoàn thành. Web không thất bại một cách kịch tính — nó thất bại do quán tính, từng chỗ giữ chỗ chưa đổi tên một. Điểm tích cực: mỗi cái trong số này là một sửa lỗi năm phút.
Câu hỏi thường gặp
Vì sao quá nhiều chứng chỉ ghi «Internet Widgits Pty Ltd»? Đó là tên tổ chức mặc định trong cấu hình ví dụ của OpenSSL. Khi ai đó tạo một chứng chỉ và chấp nhận các giá trị mặc định, chỗ giữ chỗ đó kết thúc trên chứng chỉ đang hoạt động. 244,468 trang web công khai chưa bao giờ thay đổi nó.
Một chính sách DMARC bằng ngôn ngữ khác có làm được gì không?
Không. DMARC chỉ nhận diện các từ khóa chính xác none, quarantine, và reject. Một bản ghi với từ chính sách bị viết sai chính tả hoặc viết bằng ngôn ngữ khác là không hợp lệ và bị bỏ qua — tên miền vẫn có thể bị giả mạo.
SPF +all làm gì? Nó cho phép mọi máy chủ trên internet gửi email với danh nghĩa tên miền của bạn — tệ hơn cả việc không có SPF nào cả. 36,014 tên miền có nó, gần như luôn là do nhầm lẫn.
Đây có phải là những trường hợp ngoại lệ hiếm gặp không? Không — mỗi cái là hàng trăm nghìn đến hàng triệu tên miền, được tìm thấy một cách nhất quán trong một cuộc tổng điều tra 261 triệu tên miền. Chúng là những giá trị mặc định phổ biến, không phải tai nạn kỳ quặc.
Kiểm tra để tên miền của bạn không có trong ấn bản tiếp theo
Hầu hết những cái này là sửa lỗi một dòng. Kiểm tra tên miền của bạn một cách riêng tư và miễn phí — xem chứng chỉ, DMARC và SPF của bạn đúng như cách internet nhìn thấy chúng.
Kiểm tra tên miền của bạn → · Lỗi chính tả DMARC → · Báo cáo cấu hình sai SPF → · Báo cáo lỗi chứng chỉ → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.