Defaults.Exposed

Defaults.Exposed › Báo cáo

Nghịch lý DNSSEC: Số tên miền làm hỏng nó nhiều hơn số làm đúng (2026)

Đã xuất bản 2026-06-29

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu khảo sát tổng hợp trên 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.

DNSSEC đáng lẽ phải khiến tên miền của bạn khó bị chiếm đoạt hơn — nhưng nó rắc rối đến mức số tên miền có nó bị hỏng còn nhiều hơn số có nó hoạt động đúng. Trong 261 triệu tên miền, 3.02% có DNSSEC đã ký nhưng bị hỏng, so với chỉ 1.99% có nó hợp lệ. 94.99% còn lại hoàn toàn không thử. DNS là lớp mà cuộc trò chuyện về bảo mật lãng quên — và các con số cho thấy điều đó.

Dữ liệu nói gì

Trạng thái DNSSECTỷ lệ tên miền
Hợp lệ (đã ký, hoạt động)1.99%
Hỏng (đã ký, cấu hình sai)3.02%
Hoàn toàn chưa ký94.99%

Có nhiều tên miền nằm ở hàng hỏng hơn hàng hợp lệ. Đó là nghịch lý: trong số ít ỏi những người bật DNSSEC, phần lớn cấu hình sai.

Tại sao DNSSEC bị hỏng lại tệ hơn không có DNSSEC?

DNSSEC chưa ký chỉ đơn giản là không được bảo vệ. DNSSEC bị hỏng thì nguy hiểm một cách chủ động: một resolver xác thực sẽ từ chối phân giải một tên miền có chữ ký không khớp, nên một cấu hình sai có thể khiến tên miền của bạn hoàn toàn ngoại tuyến đối với một phần internet — không có website, không có email — cho đến khi được sửa. Chính tính năng đáng lẽ bảo vệ bạn lại trở thành sự cố do chính bạn gây ra. Rủi ro đó, cộng với việc xoay khóa và bàn giao cho nhà đăng ký thực sự khó nhằn, là lý do tỷ lệ áp dụng vẫn gần mức đáy.

Khoảng trống bảo mật DNS rộng hơn

DNSSEC không phải là biện pháp kiểm soát DNS duy nhất bị bỏ bê. Bản ghi CAA — vốn hạn chế ai có thể cấp chứng chỉ TLS cho tên miền của bạn và lặng lẽ chặn một loại tấn công cấp phát sai — chỉ có mặt trên 1.56% tên miền. DNS là nền tảng: nếu bị chiếm đoạt, mọi biện pháp kiểm soát hạ nguồn khác đều có thể bị vượt qua. Vậy mà đó lại là lớp mà ít chủ sở hữu nào động đến nhất.

Tôi có nên bật DNSSEC không?

Đối với hầu hết doanh nghiệp nhỏ, thứ tự ưu tiên là xác thực email và HTTPS trước — chúng chặn những cuộc tấn công bạn thực sự đối mặt hằng ngày. DNSSEC quan trọng, nhưng chỉ khi làm đúng: một chữ ký bị hỏng còn tệ hơn không có. Nếu bật nó, hãy dùng nhà cung cấp quản lý việc ký và xoay khóa giúp bạn, rồi xác minh nó xác thực từ đầu đến cuối sau đó. Xem sửa DNSSECsửa CAA.

Câu hỏi thường gặp

DNSSEC bị hỏng có thực sự tệ hơn không có DNSSEC không? Đúng. Không có DNSSEC chỉ có nghĩa là không có thêm lớp bảo vệ. DNSSEC bị hỏng có thể khiến tên miền của bạn không phân giải được đối với các mạng xác thực — làm trang web và email của bạn ngoại tuyến cho đến khi được sửa.

Bao nhiêu phần trăm tên miền dùng DNSSEC đúng cách? Chỉ 1.99% tính đến 2026-06-29 — ít hơn 3.02% có nó đã ký nhưng bị hỏng.

Bản ghi CAA là gì và tôi có cần nó không? CAA hạn chế những cơ quan cấp chứng chỉ nào có thể cấp chứng chỉ cho tên miền của bạn, chặn một loại cấp phát sai. Chỉ 1.56% tên miền thiết lập nó. Đây là một bổ sung rẻ tiền, ít rủi ro.

Doanh nghiệp nhỏ có nên ưu tiên DNSSEC không? Thường là sau xác thực email và HTTPS. Hãy làm những thứ đó trước; chỉ thêm DNSSEC nếu bạn có thể quản lý nó đúng cách.

Kiểm tra miễn phí bảo mật DNS của tên miền

Xem trạng thái DNSSEC và CAA của bạn — cùng những biện pháp kiểm soát quan trọng hơn — một cách riêng tư và chỉ dành cho chủ sở hữu.

Kiểm tra tên miền của bạn → · Sửa DNSSEC → · Sửa CAA → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.