Defaults.Exposed

Defaults.Exposed › 报告

DNSSEC 悖论:把它配坏的域名多于配对的域名(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个已评级域名的汇总普查数据。参见我们如何评级

DNSSEC 本应让你的域名更难被劫持——但它如此繁琐,以至于配置失败的域名比配置正确的还多。 在 261 百万个域名中,3.02% 的 DNSSEC 虽已签名却已损坏,而仅有 1.99% 配置有效。其余 94.99% 根本没有尝试。DNS 是安全讨论遗忘的那一层——数据正说明了这一点。

数据怎么说

DNSSEC 状态域名占比
有效(已签名,正常工作)1.99%
损坏(已签名,配置错误)3.02%
完全未签名94.99%

处于损坏一行的域名比有效一行的更多。这就是悖论:在开启 DNSSEC 的少数群体中,多数人都配置错了。

为什么损坏的 DNSSEC 比没有 DNSSEC 更糟?

未签名的 DNSSEC 只是没有保护。损坏的 DNSSEC 则是主动危险的:执行验证的解析器会拒绝解析签名不通过的域名,因此一次错误配置可能让你的域名对一部分互联网完全离线——网站打不开、邮件收不到——直到被修复为止。本应保护你的功能反而变成了自己造成的故障。这种风险,加上密钥轮换与注册商交接确实棘手,正是采用率始终接近最低水平的原因。

更广泛的 DNS 安全缺口

DNSSEC 并非唯一被忽视的 DNS 控制项。CAA 记录——限制谁可以为你的域名签发 TLS 证书,并悄悄阻断一类错误签发攻击——仅出现在 1.56% 的域名上。DNS 是根基:一旦被劫持,下游的任何其他控制都可能被绕过。然而它却是最少有所有者去触碰的那一层。

我该开启 DNSSEC 吗?

对大多数小企业来说,优先顺序是先做电子邮件认证和 HTTPS——它们能阻止你每天真正面对的攻击。DNSSEC 很重要,但只有做对才行:损坏的签名比没有还糟。如果你要启用它,请使用能为你管理签名和密钥轮换的提供商,并在之后验证它端到端有效。参见修复 DNSSEC修复 CAA

常见问题

损坏的 DNSSEC 真的比没有 DNSSEC 更糟吗? 是的。没有 DNSSEC 只意味着没有额外保护。损坏的 DNSSEC 可能导致你的域名在执行验证的网络上无法解析——让你的网站和邮件离线,直到被修复。

有多少比例的域名正确使用了 DNSSEC? 截至 2026-06-29 仅 1.99%——少于已签名却损坏的 3.02%。

什么是 CAA 记录,我需要吗? CAA 限制哪些证书颁发机构可以为你的域名签发证书,阻断一类错误签发。仅 1.56% 的域名设置了它。这是一项廉价、低风险的补充。

小企业应该优先考虑 DNSSEC 吗? 通常排在电子邮件认证和 HTTPS 之后。先做那些;只有在你能正确管理它时才加上 DNSSEC。

免费检查你域名的 DNS 安全

查看你的 DNSSEC 和 CAA 状态——以及更重要的那些控制项——私密且仅限所有者。

检查你的域名 → · 修复 DNSSEC → · 修复 CAA → · 我们如何评级 → · 仅汇总数据。数据在欧盟存储和处理。