Defaults.Exposed › 报告
深入 WHOIS:2026 年域名安全表现最佳的顶级域名
发布于 2026-06-29
数据截至 2026-06-28 · 方法论 v7. 汇总的人口普查数据 – 从不发布任何个别企业的评分。 请参阅我们如何评分互联网。
对整个互联网运行 dig,一个数字高于所有其他数字:在**260 百万个评分域名中,只有0.022%** – 约1 在 4,600 – 获得A 或 A+,这是安全配置的两个最高评分。A 级是在线最稀有的空气。 但分布不均匀:一些顶级域名携带大约**5.8× 它们的份额**。 那么,让我们对赢家进行 WHOIS 并询问哪些 TLD 实际上配置安全性良好。
dig +short:A/A+ 排行榜
按每个 TLD 的评分域名获得 A 或 A+ 的份额排列 – 仅限于强大覆盖范围的结尾(至少 100,000 个评分域名,留下 112 个 TLD 参赛):
| # | TLD | A/A+ 份额 |
|---|---|---|
| 1 | 0.12% | |
| 2 | .dev | 0.12% |
| 3 | .nl | 0.11% |
| 4 | .dk | 0.11% |
| 5 | .io | 0.10% |
| 6 | .no | 0.09% |
| 7 | .ee | 0.09% |
| 8 | .ai | 0.09% |
| 9 | .sg | 0.09% |
| 10 | .nz | 0.07% |
.email 以 0.12% 领先。 读两遍这个数字:即使是互联网配置最好的角落也只能在 A 级达到不到百分之一。 “表现最好”这里是相对的皇冠,而不是胜利圈 – 这是贯穿整个评分曲线的不舒服主题。
WHOIS 真的赢了
两个部落坐在表的顶部,都不是偶然的。
建筑师结尾。 .email、.dev 和 .io 等域名压倒性地由已经知道 MX 记录是什么的人购买。 开发人员、基础设施团队和技术公司倾向于这些结尾 – 同样的人也倾向于出于反射而使用 DMARC、HSTS 和 DNSSEC。 TLD 确实是发布其 DNS 的人的技术素养的代理。
北欧。 .nl、.dk 和 .no 等国家代码聚集在顶部附近,因为它们的注册表多年来一直在推动良好的默认值 – 荷兰和北欧国家的 DNSSEC 采用率是世界上最高的之一。 当注册表温和地推动每个注册人签署其区域时,整个 TLD 的评分曲线随之变化。
要点不是”购买 .email 域名,您就是安全的”。 而是良好的配置集中在买家或注册表已经关心的地方。
解决 .com 问题
这是转折点。 .com – 互联网上最大的顶级域名 – 的 A/A+ 份额仅为 0.017%,低于 0.022% 的互联网范围平均值,是 .email 实现的 0.12% 的一小部分。 规模不是安全性。 具有数亿个域名的结尾是具有数亿个所有者的结尾,其中大多数从未发布过 SPF 记录 – 平均值相应向下解析。
这正是为什么排行榜会奖励小型、固执己见的结尾而不是巨大的默认结尾的原因。
不是 TLD – 是你发布的记录
域名不会因为点后的字母而获得 A。 它获得 A 是因为有人发布了正确的 DNS 和 HTTP 记录:
- 不能伪造的电子邮件 – SPF、DKIM 和 DMARC 处于强制执行状态(
p=quarantine或p=reject),从不p=none。 (修复 DMARC →) - 正确完成的 TLS – 有效的现代证书加 HSTS。 (修复 HSTS →)
- 强化的区域 – DNSSEC 使答案不能被悄悄伪造,CAA 使只有您选择的颁发机构才能颁发证书。 (修复 DNSSEC →)
- 完成工作的安全标头 – Content-Security-Policy、X-Frame-Options 和其他。
这些都是免费的,在任何 TLD 上都可用。 领导者只是打开了它们。 有关完整模式,请参阅 A 级精英做不同的事情。