Defaults.Exposed › 报告
A 级精英:互联网上最安全的域名有何不同?(2026)
发布于 2026-06-28
数据截至 2026-06-28 · 方法论 v7。 聚合普查数据——从不公开任何企业的单独评分。详见我们的评分方式。
将域名安全性提升至 A 级,意味着跻身整个互联网前百分之一以内的顶端。 在 260 百万个已评级域名中,仅有 1,202,444 个(0.46%)达到 B 或更高,只有 0.02%——大约 4,600 分之一——获得 A 或 A+。最令人惊讶的,不是这些域名如此稀少——而是它们与众不同之处,几乎全都是免费、标准化的,一个下午就能完成。
这就是 A 级精英的操作手册。
A 级评分到底有多稀缺?
| 层级 | 域名数量 | 占比 | 稀缺程度 |
|---|---|---|---|
| A 或 A+ | 6,740 + 49,762 | 0.02% | 约 4,600 分之一 |
| B 或更高 | 1,202,444 | 0.46% | 约 220 分之一 |
| C 或更高 | — | — | 约 27 分之一 |
参考一下:达到 B 意味着领先互联网上 99% 以上的域名。这些并非财富 500 强安全团队的庞大预算投入——而是任何持有域名的人都可以使用的相同 DNS 设置。精英们只是把它们开启了。
互联网上最安全的域名有哪些共同点
A 级域名并非做了某一件聪明的事,而是弥合了每一个常见的缺口。在我们评分的 34 项检查中,顶级域名始终在以下基本项上做到位:
1. 电子邮件无法被伪造
A 与 F 之间最大的分水岭,是强制执行电子邮件身份验证:
- SPF 已发布且配置正确——声明哪些服务器可为该域名发送邮件。(修复 SPF →)
- DKIM 对外发邮件进行签名,防止被篡改。(修复 DKIM →)
- DMARC 设置为强制执行(
p=quarantine或p=reject)——而非毫无约束力的p=none。这才是真正阻止伪造邮件进入收件箱的机制。(修复 DMARC →)
一个将三者都以强制模式发布的域名,已经关上了互联网上最常见攻击的大门:有人冒充你发送电子邮件。
2. 网站加密到位——不只是”有 https”
顶级域名不仅提供 HTTPS,而且做到正确:
3. DNS 经过加固
精英们锁定了网站下方的那一层:
- DNSSEC 已启用,防止 DNS 答案被悄悄伪造。(修复 DNSSEC →)
- CAA 记录限制哪些证书颁发机构可以为该域名签发证书。(修复 CAA →)
4. 发送正确的安全响应头
将 B 与 A+ 区分开来的最后润色:
- Content-Security-Policy、X-Frame-Options(防点击劫持)、X-Content-Type-Options,以及合理的 Referrer-Policy。
- 不通过冗长的
Server/X-Powered-By响应头泄露技术栈信息。
规律:安全域名靠叠加小胜来赢
没有任何单一设置能赢得 A。精英们的胜法是叠加十余个各自独立、各自免费的配置步骤,直到没有任何开着的门为止。对其他人来说,这其实是个好消息——因为它意味着通往 A 的路不是一笔昂贵的采购,而是一张检查清单。
如何加入 A 级精英
- 了解您的现状。 运行免费检测,获取您的评级及逐项检查的通过/失败详情。
- 从电子邮件开始。 SPF、DKIM,然后是强制执行的 DMARC——这是提升最大的一步,也是阻止伪造的关键。
- 确认 TLS + HSTS,然后添加 DNSSEC 和 CAA。
- 补全安全响应头,收尾。
- 重新检测。 大多数改动在数分钟至数小时内生效。
常见问题
什么让一个域名变得安全?
强制执行的电子邮件身份验证(SPF + DKIM + DMARC 设置为 p=quarantine 或 p=reject)、有效的现代 TLS 证书加 HSTS、DNS 加固(DNSSEC 和 CAA),以及完整的 HTTP 安全响应头。A 级域名同时做到了所有这些。
有多少域名获得了 A 评级? 截至 2026-06-28,在 260 百万个已评级域名中,仅有 0.02% 获得 A 或 A+——大约 4,600 分之一。
获得 A 评级是否需要花费大量资金? 不需要。几乎所有要求都是在 DNS 或 Web 服务器设置中进行的免费配置更改。障碍是认知不足,而非成本。
加固一个域名需要多长时间? 核心修复通常可在一个下午内完成;大多数配置在数分钟至数小时内传播生效。
看看您的域名距离 A 还有多远
您可能只差一个设置就能进入前 0.46%——也可能需要多几步。免费、私密地检测,并获取需要修复内容的精确清单。
检测您的域名 → · 我们的评分方式 → · 仅发布聚合数据;单个评分仅向经过验证的所有者显示。数据在欧盟境内存储和处理。