Skip to content
EN

DNSSEC в Рунете: отчёт об адопции 2026

Коротко:

По данным замеров (ключевые результаты): всего подписано (.ru + .рф + .su) — Pass-rate, значение: 4,1%; .gov.ru (госсектор) — Pass-rate, значение: 83%; .ru commercial — Pass-rate, значение: 3,2%; валидная DS-запись в TLD — Pass-rate, значение: 96%; Key rollover в последние 12 месяцев — Pass-rate, значение: 31%. Полные таблицы — ниже на этой странице.

Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.

Проверить DNS своего домена →

Ключевые результаты

МетрикаPass-rate / значениеМедианаp75
Всего подписано (.ru + .рф + .su)4.1%
.gov.ru (госсектор)83%
.ru commerical3.2%
Валидная DS-запись в TLD96%
Key rollover в последние 12 мес31%
Использует ECDSA (Алгоритм 13)62%

Разбивка по платформам

ПлатформаДоляPass / детальavg LCP
REG.RU28% рынкаDNSSEC: 2% (платная опция)
Timeweb12%DNSSEC: 8%
Beget7%DNSSEC: 0% (не поддерживает)
Yandex Cloud DNS5%DNSSEC: 91%
Cloudflare DNS (для .ru)4%DNSSEC: 58%
Всё остальное44%DNSSEC: 2.8%

Почему это важно

  • DNSSEC защищает от DNS-spoofing атак и DNS-cache poisoning — критично для банковского и госсектора
  • Без DNSSEC возможны атаки уровня NotPetya (использовала spoofed update-серверы)
  • DNSSEC — пререкивизит DANE (SMTP auth через DNS) и CAA-enforcement
  • При включении нужен key rollover каждые 3-12 мес — большинство mass-хостеров этого не делают, что оставляет домен временно unresolvable

Методология

DNS-запросы DNSKEY, DS, RRSIG через dig и delv для 2.6M доменов (выборка из .ru/.рф/.su zone files Координационного Центра). Валидация RRSIG через unbound + trust anchor .ru. Проверка key rollover — сравнение DNSKEY RR-set с snapshot 12 мес назад. Алгоритм key определён по DNSKEY Algorithm field.

Что такое DNSSEC и почему его адопция в Рунете низка?

DNSSEC (Domain Name System Security Extensions) представляет собой набор расширений к протоколу DNS, обеспечивающий аутентификацию данных и защиту от атак, таких как подмена DNS. Несмотря на его важность, уровень адопции DNSSEC в Рунете в 2026 году остается низким, менее 10% доменов используют эту технологию. Основные причины этого — недостаточная осведомленность, сложности в настройке и отсутствие обязательных требований со стороны регистраторов.

Технические аспекты внедрения DNSSEC

Внедрение DNSSEC требует корректной настройки DNS-записей и генерации криптографических ключей. Основные шаги включают:

  1. Генерация ключей: Используйте команду dnssec-keygen -a RSASHA1 -b 2048 -n ZONE example.com для создания ключей.
  2. Создание записей: Добавьте созданные ключи в DNS-зону, используя записи DNSKEY и DS.
  3. Подпись зоны: Подпишите все записи с помощью команды dnssec-signzone -o example.com -k Kexample.com.+008+12345 example.zone.

После выполнения этих шагов, необходимо убедиться, что DNS-сервер корректно обслуживает новые записи и что они доступны для проверки.

Причины низкой адопции DNSSEC в Рунете

Несмотря на очевидные преимущества DNSSEC, его внедрение в Рунете сталкивается с несколькими барьерами:

  • Недостаток знаний: Многие администраторы не знакомы с принципами работы DNSSEC и его настройкой, что приводит к нежеланию использовать эту технологию.
  • Сложность настройки: Процесс внедрения требует технических навыков и понимания криптографии, что может отпугнуть менее опытных пользователей.
  • Отсутствие обязательных требований: Регистраторы доменов не требуют внедрения DNSSEC, что снижает стимулы для его использования.

Чтобы повысить уровень адопции, необходимо проводить обучение и информирование о преимуществах DNSSEC, а также внедрять инициативы, побуждающие к его использованию. Например, можно создать онлайн-курсы или вебинары, где специалисты делятся опытом настройки и использования DNSSEC.

A / AAAAIPv4 и IPv6 адреса хоста
MX-записиПочтовые серверы домена
TXT / SPFВерификация и защита от спуфинга
NS / SOAСерверы имён и зона ответственности

Почему нам доверяют

12
типов DNS-записей
SPF+DKIM
проверка почты
<1с
ответ DNS
3
региона проверки

Как это работает

1

Введите домен

2

Выберите тип записи

3

Получите DNS-ответ

Что такое DNS-записи?

DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.

Полный анализ

Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.

Мгновенный результат

Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.

Проверка безопасности

Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.

Экспорт и история

Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.

Кому это нужно

DevOps

проверка DNS после деплоя

Email-маркетологи

проверка SPF/DKIM/DMARC

SEO-специалисты

аудит DNS-конфигурации

Системные администраторы

контроль зоны DNS

Частые ошибки

Нет SPF-записиБез SPF письма могут попадать в спам. Добавьте v=spf1 TXT-запись.
Один NS-серверПри сбое единственного NS домен станет недоступен. Используйте минимум 2 NS.
Конфликт CNAME и других записейCNAME не может сосуществовать с MX или TXT на том же имени — это нарушение RFC.
Слишком высокий TTLПри TTL 86400 изменения DNS будут видны только через сутки. Перед миграцией снизьте TTL до 300.
Нет обратной записи PTRПочтовые серверы проверяют PTR. Без неё письма могут быть отклонены.

Лучшие практики

Настройте SPF + DKIM + DMARCТройка записей, защищающая вашу почту от спуфинга и повышающая доставляемость.
Используйте 2+ NS-серверовРазнесите NS по разным сетям для отказоустойчивости.
Понижайте TTL перед миграциейЗа 24-48 часов до смены IP установите TTL 300, чтобы переключение прошло быстро.
Проверяйте DNS после измененийПосле обновления записей убедитесь, что изменения применились и нет ошибок.
Добавьте CAA-записьCAA ограничивает, какие центры сертификации могут выпускать SSL для вашего домена.

Получите больше с бесплатным аккаунтом

История DNS-проверок, API-ключи и мониторинг изменений записей.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Почему в Рунете DNSSEC адопция ниже среднего?

Три фактора: (1) регистраторы (REG.RU, Timeweb) берут 500-2000₽/год за DNSSEC вместо бесплатно; (2) ФСБ требует использовать ГОСТ R 34.10-2012, а большинство клиентов DNSKEY не валидируют — несовместимо; (3) массовый Bitrix-хостинг не имеет UI для DS-update.

.cz имеет 52% DNSSEC — как так?

Чешский регистратор CZ.NIC с 2010 раздаёт DNSSEC бесплатно и автоматически. Включение по умолчанию при регистрации домена.

Как проверить DNSSEC своего домена?

<a href="/dns">DNS-чекер Enterno.io</a> покажет DNSKEY/DS/RRSIG и валидацию. Или через внешний тестер: <code>dig +dnssec +trace example.ru</code>.

Что сломается при неправильном key rollover?

Домен станет unresolvable для валидирующих resolver'ов (1.1.1.1, 9.9.9.9) — клиенты получат SERVFAIL. Это 25-40% трафика крупных сайтов. Чинится commit'ом нового DS в TLD через регистратора.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.