Defaults.Exposed

Defaults.Exposed › 報告

DNSSEC 悖論:把它配壞的域名多於配對的域名(2026)

發布於 2026-06-29

數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個已評級域名的彙總普查數據。參見我們如何評級

DNSSEC 本應讓你的域名更難被劫持——但它如此繁瑣,以至於配置失敗的域名比配置正確的還多。 在 261 百萬個域名中,3.02% 的 DNSSEC 雖已簽名卻已損壞,而僅有 1.99% 配置有效。其餘 94.99% 根本沒有嘗試。DNS 是安全討論遺忘的那一層——數據正說明了這一點。

數據怎麼說

DNSSEC 狀態域名佔比
有效(已簽名,正常工作)1.99%
損壞(已簽名,配置錯誤)3.02%
完全未簽名94.99%

處於損壞一行的域名比有效一行的更多。這就是悖論:在開啟 DNSSEC 的少數群體中,多數人都配置錯了。

為什麼損壞的 DNSSEC 比沒有 DNSSEC 更糟?

未簽名的 DNSSEC 只是沒有保護。損壞的 DNSSEC 則是主動危險的:執行驗證的解析器會拒絕解析簽名不通過的域名,因此一次錯誤配置可能讓你的域名對一部分互聯網完全離線——網站打不開、郵件收不到——直到被修復為止。本應保護你的功能反而變成了自己造成的故障。這種風險,加上密鑰輪換與註冊商交接確實棘手,正是採用率始終接近最低水平的原因。

更廣泛的 DNS 安全缺口

DNSSEC 並非唯一被忽視的 DNS 控制項。CAA 記錄——限制誰可以為你的域名簽發 TLS 證書,並悄悄阻斷一類錯誤簽發攻擊——僅出現在 1.56% 的域名上。DNS 是根基:一旦被劫持,下游的任何其他控制都可能被繞過。然而它卻是最少有所有者去觸碰的那一層。

我該開啟 DNSSEC 嗎?

對大多數小企業來說,優先順序是先做電子郵件認證和 HTTPS——它們能阻止你每天真正面對的攻擊。DNSSEC 很重要,但只有做對才行:損壞的簽名比沒有還糟。如果你要啟用它,請使用能為你管理簽名和密鑰輪換的提供商,並在之後驗證它端到端有效。參見修復 DNSSEC修復 CAA

常見問題

損壞的 DNSSEC 真的比沒有 DNSSEC 更糟嗎? 是的。沒有 DNSSEC 只意味著沒有額外保護。損壞的 DNSSEC 可能導致你的域名在執行驗證的網絡上無法解析——讓你的網站和郵件離線,直到被修復。

有多少比例的域名正確使用了 DNSSEC? 截至 2026-06-29 僅 1.99%——少於已簽名卻損壞的 3.02%。

什麼是 CAA 記錄,我需要嗎? CAA 限制哪些證書頒發機構可以為你的域名簽發證書,阻斷一類錯誤簽發。僅 1.56% 的域名設置了它。這是一項廉價、低風險的補充。

小企業應該優先考慮 DNSSEC 嗎? 通常排在電子郵件認證和 HTTPS 之後。先做那些;只有在你能正確管理它時才加上 DNSSEC。

免費檢查你域名的 DNS 安全

查看你的 DNSSEC 和 CAA 狀態——以及更重要的那些控制項——私密且僅限所有者。

檢查你的域名 → · 修復 DNSSEC → · 修復 CAA → · 我們如何評級 → · 僅彙總數據。數據在歐盟存儲和處理。