Defaults.Exposed

Defaults.Exposed › 報告

強制 DNSSEC 有效嗎?註冊局主導的採用揭示了什麼(2026)

發布於 2026-06-29

數據截至 2026-06-29 · 方法論 v7。 跨 261 百萬個已評級域名的彙總普查數據,按國家域名後綴劃分(這是註冊局政策的代理指標,而非公司所在地)。「註冊局驅動」= 該後綴的註冊局通過激勵或要求積極推動 DNSSEC——多為對註冊商的激勵,而非法律強制。「有效」= 通過驗證的 DNSSEC 鏈;「損壞」= 已簽名但驗證失敗。參見我們如何評級

讓註冊商推動 DNSSEC 真的能撬動採用率嗎?能——而且是決定性的——但有個陷阱。 在註冊局驅動 DNSSEC 的後綴上,9.1% 的域名擁有有效簽名,而在將其留給所有者的後綴上僅為 1.3%——大約高出 7 倍。在自願採用停滯之處,政策行之有效。陷阱在於:即便在領先者中,損壞 DNSSEC 的域名也多於正確配置的域名——因此註冊局的壓力解決的是打開它,而非正確地實施它

推動 DNSSEC 能提高採用率嗎?

毫無疑問。註冊局驅動的國家後綴集中在約 10–18% 的有效 DNSSEC;放任自流的後綴則接近 1.99% 的全球底線。有效百分比越高越好;損壞百分比則是出錯的代價。截至 2026-06-29:

後綴註冊局立場DNSSEC 有效損壞
.se(瑞典)驅動(對註冊商的激勵)18.38%30.35%
.no(挪威)驅動16.59%25.24%
.sk(斯洛伐克)驅動16.61%25.59%
.cz(捷克)驅動(對註冊商的激勵)14.62%26.28%
.nl(荷蘭)驅動(對註冊商的激勵)11.86%22.98%
.fr(法國)驅動5.13%9.54%
.com放任自流1.62%2.44%
.de(德國)放任自流0.92%1.60%
.uk(英國)放任自流1.06%1.72%

瑞典的 18.38%.com1.62% 的十倍多。差距與技術無關——各處都是同一套協議——而在於鏈條中是否有人有理由去部署它。

陷阱:損壞的多於正常工作的

這是令人不安的另一半。在上述每一個註冊局驅動的後綴中,損壞率都高於有效率——瑞典是 30.35% 損壞對 18.38% 有效;荷蘭是 22.98% 對 11.86%。在所有驅動後綴整體上,是 15.7% 損壞對 9.1% 有效

這很重要,因為損壞的 DNSSEC 並非無害:一個進行驗證的解析器會拒絕解析簽名校驗不通過的域名,因此一次配置錯誤可能讓該域名對互聯網的一部分離線——網站和電子郵件都是如此。在推動採用而不推動正確性的同時,故障會隨保護一起擴大。這與整個網絡在DNSSEC 悖論中所呈現的執行問題相同,只是在更多域名嘗試之處被放大了。

為什麼註冊局政策勝過留給所有者

DNSSEC 對單個所有者沒有任何強制觸發事件:你跳過它不會有任何東西損壞或發出警告,所以在像 .com 這樣放任自流的後綴上,採用率會無限期地平穩停留在約 1.62%。突破這一點的註冊局是通過經濟手段,而非政令做到的——通常是對註冊商的激勵(為簽署區域提供折扣或返利)加上提供商的自動化,北歐、捷克和荷蘭的註冊局正是藉此提升了其全部群體。這是一個乾淨的自然實驗:相同的協議、相同的難度、截然不同的結果——而差異就在於註冊局政策。

強制還是激勵——究竟什麼真正起作用?

主要是激勵。儘管這個問題通常以「強制」的框架提出,但這裡高採用率的後綴通常是鼓勵 DNSSEC,而非依法要求;硬性強制更為罕見(某些政府要求公共部門域名採用)。對任何註冊局的教訓是:將註冊商經濟與自動化向簽署對齊是有效的——但應當與託管簽署和密鑰輪換搭配,否則你只是製造出更多損壞的區域。

常見問題

要求或激勵 DNSSEC 真的能提高採用率嗎? 能——在我們的數據中約為 7 倍:註冊局驅動的後綴上有 9.1% 有效,而放任自流的後綴上為 1.3%,截至 2026-06-29。

哪個國家或 TLD 的 DNSSEC 最多? 在大型後綴中,瑞典(.se)以 18.38% 有效領先——是 .com 的 1.62% 的十倍多。

如果採用率更高,DNSSEC 是否正確實施? 往往並非如此。在每一個高採用率的後綴中,損壞的 DNSSEC 都多於有效的(驅動後綴整體為 15.7% 對 9.1%)——而損壞的 DNSSEC 可能讓域名離線。

小企業應該打開 DNSSEC 嗎? 只有在它被正確管理的前提下——損壞的簽名比沒有更糟。使用一個能處理簽署和密鑰輪換的提供商,並驗證它確實通過校驗。參見如何修復 DNSSEC

檢查你域名的 DNS

查看你的 DNSSEC 是有效、損壞還是缺失——以及你其餘的安全態勢——私密且免費。

檢查你的域名 → · DNSSEC 悖論 → · 誰在運營互聯網的 DNS? → · 修復 DNSSEC → · 僅彙總數據。數據在歐盟存儲和處理。