Defaults.Exposed › Báo cáo
Nhóm tinh hoa điểm A: Những tên miền an toàn nhất Internet làm khác biệt điều gì (2026)
Đã xuất bản 2026-06-28
Số liệu tính đến 2026-06-28 · phương pháp luận v7. Dữ liệu thống kê tổng hợp — điểm của bất kỳ doanh nghiệp cá nhân nào đều không bao giờ được công bố. Xem cách chúng tôi chấm điểm.
Bảo mật một tên miền đạt điểm A đưa bạn vào nhóm phần nhỏ trên cùng của một phần trăm toàn bộ internet. Trong số 260 triệu tên miền được chấm điểm, chỉ 1,202,444 (0.46%) đạt B trở lên, và chỉ 0.02% — khoảng 1 trên 4,600 — đạt được A hoặc A+. Điều đáng chú ý không phải là những tên miền này hiếm. Mà là những gì chúng làm khác biệt gần như hoàn toàn miễn phí, tiêu chuẩn và có thể đạt được trong một buổi chiều.
Đây là cẩm nang của giới tinh hoa điểm A.
Điểm A thực sự độc quyền đến mức nào?
| Hạng | Tên miền | Tỷ lệ | Độ hiếm |
|---|---|---|---|
| A hoặc A+ | 6,740 + 49,762 | 0.02% | ~1 trên 4,600 |
| B trở lên | 1,202,444 | 0.46% | ~1 trên 220 |
| C trở lên | — | — | ~1 trên 27 |
Để có bối cảnh: vượt qua mức B đưa bạn vượt lên trước hơn 99 trong mỗi 100 tên miền trên internet. Đây không phải là ngân sách của các nhóm bảo mật Fortune 500 đang vận hành — chúng là những thiết lập DNS giống nhau có sẵn cho bất kỳ ai có một tên miền. Giới tinh hoa chỉ đơn giản là bật chúng lên.
Các tên miền an toàn nhất internet có điểm gì chung
Một tên miền điểm A không phải là tên miền làm một việc khôn ngoan duy nhất. Mà là tên miền đã đóng mọi lỗ hổng phổ biến. Qua 34 mục kiểm tra mà chúng tôi chấm điểm, các tên miền hàng đầu luôn làm đúng những điều cơ bản giống nhau:
1. Email của họ không thể bị giả mạo
Yếu tố phân chia lớn nhất giữa điểm A và điểm F là xác thực email được thực thi:
- SPF được công bố và chính xác — khai báo những máy chủ nào có thể gửi thư cho tên miền. (Sửa SPF →)
- DKIM ký vào thư đi để không thể bị giả mạo. (Sửa DKIM →)
- DMARC được đặt ở chế độ thực thi (
p=quarantinehoặcp=reject) — không phảip=nonevô dụng. Đây mới là thứ thực sự ngăn email giả mạo đến được hộp thư đến. (Sửa DMARC →)
Một tên miền công bố cả ba, ở chế độ thực thi, đã đóng cánh cửa trước cuộc tấn công phổ biến nhất trên internet: ai đó gửi email với danh nghĩa của bạn.
2. Trang web của họ được mã hóa đúng cách — không chỉ “có https”
Các tên miền hàng đầu không chỉ phục vụ HTTPS; họ phục vụ nó đúng cách:
- Một chứng chỉ hợp lệ, hiện hành khớp với tên máy chủ. (Chứng chỉ →)
- HSTS để trình duyệt từ chối quay lại HTTP không an toàn. (Sửa HSTS →)
- Chỉ TLS hiện đại, với các phiên bản giao thức lỗi thời bị vô hiệu hóa. (TLS →)
3. DNS của họ được củng cố
Giới tinh hoa khóa chặt lớp bên dưới trang web:
- DNSSEC được bật, để các câu trả lời DNS không thể bị giả mạo một cách âm thầm. (Sửa DNSSEC →)
- Bản ghi CAA hạn chế những tổ chức cấp chứng chỉ nào có thể cấp chứng chỉ cho tên miền. (Sửa CAA →)
4. Họ gửi đúng các tiêu đề bảo mật
Những chi tiết hoàn thiện tách biệt điểm B với điểm A+:
- Content-Security-Policy, X-Frame-Options (chống clickjacking), X-Content-Type-Options, và một Referrer-Policy hợp lý.
- Họ không để lộ ngăn xếp phần mềm của mình qua các tiêu đề
Server/X-Powered-Bydài dòng.
Mô hình: các tên miền an toàn xếp chồng những chiến thắng nhỏ
Không có thiết lập đơn lẻ nào đạt được điểm A. Giới tinh hoa thắng bằng cách xếp chồng hàng chục bước cấu hình nhỏ riêng lẻ, miễn phí riêng lẻ cho đến khi không còn cánh cửa nào mở. Đây thực sự là tin tốt cho mọi người khác, vì nó có nghĩa là con đường đến điểm A không phải là một khoản mua sắm đắt đỏ duy nhất — mà là một danh sách kiểm tra.
Cách gia nhập giới tinh hoa điểm A
- Tìm hiểu xem bạn đang ở đâu. Chạy một bài kiểm tra miễn phí và nhận điểm của bạn cùng với bản phân tích theo từng mục kiểm tra về chính xác những gì bạn đạt và không đạt.
- Bắt đầu với email. SPF, DKIM, rồi DMARC ở chế độ thực thi — điều này tạo ra thay đổi lớn nhất và ngăn chặn giả mạo.
- Xác nhận TLS + HSTS, rồi thêm DNSSEC và CAA.
- Thêm các tiêu đề bảo mật để hoàn thiện.
- Kiểm tra lại. Hầu hết những thay đổi này có hiệu lực trong vòng vài phút đến vài giờ.
Câu hỏi thường gặp
Điều gì làm cho một tên miền an toàn?
Xác thực email được thực thi (SPF + DKIM + DMARC ở p=quarantine hoặc p=reject), một chứng chỉ TLS hiện đại hợp lệ với HSTS, củng cố DNS (DNSSEC và CAA), và một bộ đầy đủ các tiêu đề bảo mật HTTP. Các tên miền điểm A làm đúng tất cả những điều này cùng một lúc.
Có bao nhiêu tên miền đạt điểm A? Tính đến 2026-06-28, chỉ 0.02% trong số 260 triệu tên miền được chấm điểm đạt điểm A hoặc A+ — khoảng 1 trên 4,600.
Đạt điểm A có tốn kém không? Không. Gần như mọi yêu cầu đều là một thay đổi cấu hình miễn phí trong thiết lập DNS hoặc máy chủ web của bạn. Rào cản là nhận thức, không phải chi phí.
Mất bao lâu để bảo mật một tên miền? Các bản sửa lỗi cốt lõi thường có thể được thực hiện trong một buổi chiều; hầu hết lan truyền trong vòng vài phút đến vài giờ.
Xem tên miền của bạn gần đạt điểm A đến mức nào
Bạn có thể chỉ cách top 0.46% một thiết lập — hoặc vài thiết lập. Kiểm tra riêng tư và miễn phí, và nhận danh sách chính xác những gì cần sửa.
Kiểm tra tên miền của bạn → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp; điểm cá nhân chỉ được hiển thị cho chủ sở hữu đã xác minh. Dữ liệu được lưu trữ và xử lý tại EU.