По данным замеров (ключевые результаты): всего подписано (.ru + .рф + .su) — Pass-rate, значение: 4,1%; .gov.ru (госсектор) — Pass-rate, значение: 83%; .ru commercial — Pass-rate, значение: 3,2%; валидная DS-запись в TLD — Pass-rate, значение: 96%; Key rollover в последние 12 месяцев — Pass-rate, значение: 31%. Полные таблицы — ниже на этой странице.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Бесплатный онлайн-инструмент — DNS Lookup: результат мгновенно, без регистрации.
| Метрика | Pass-rate / значение | Медиана | p75 |
|---|---|---|---|
| Всего подписано (.ru + .рф + .su) | 4.1% | — | — |
| .gov.ru (госсектор) | 83% | — | — |
| .ru commerical | 3.2% | — | — |
| Валидная DS-запись в TLD | 96% | — | — |
| Key rollover в последние 12 мес | 31% | — | — |
| Использует ECDSA (Алгоритм 13) | 62% | — | — |
| Платформа | Доля | Pass / деталь | avg LCP |
|---|---|---|---|
| REG.RU | 28% рынка | DNSSEC: 2% (платная опция) | — |
| Timeweb | 12% | DNSSEC: 8% | — |
| Beget | 7% | DNSSEC: 0% (не поддерживает) | — |
| Yandex Cloud DNS | 5% | DNSSEC: 91% | — |
| Cloudflare DNS (для .ru) | 4% | DNSSEC: 58% | — |
| Всё остальное | 44% | DNSSEC: 2.8% | — |
DNS-запросы DNSKEY, DS, RRSIG через dig и delv для 2.6M доменов (выборка из .ru/.рф/.su zone files Координационного Центра). Валидация RRSIG через unbound + trust anchor .ru. Проверка key rollover — сравнение DNSKEY RR-set с snapshot 12 мес назад. Алгоритм key определён по DNSKEY Algorithm field.
DNSSEC (Domain Name System Security Extensions) представляет собой набор расширений к протоколу DNS, обеспечивающий аутентификацию данных и защиту от атак, таких как подмена DNS. Несмотря на его важность, уровень адопции DNSSEC в Рунете в 2026 году остается низким, менее 10% доменов используют эту технологию. Основные причины этого — недостаточная осведомленность, сложности в настройке и отсутствие обязательных требований со стороны регистраторов.
Внедрение DNSSEC требует корректной настройки DNS-записей и генерации криптографических ключей. Основные шаги включают:
dnssec-keygen -a RSASHA1 -b 2048 -n ZONE example.com для создания ключей.DNSKEY и DS.dnssec-signzone -o example.com -k Kexample.com.+008+12345 example.zone.После выполнения этих шагов, необходимо убедиться, что DNS-сервер корректно обслуживает новые записи и что они доступны для проверки.
Несмотря на очевидные преимущества DNSSEC, его внедрение в Рунете сталкивается с несколькими барьерами:
Чтобы повысить уровень адопции, необходимо проводить обучение и информирование о преимуществах DNSSEC, а также внедрять инициативы, побуждающие к его использованию. Например, можно создать онлайн-курсы или вебинары, где специалисты делятся опытом настройки и использования DNSSEC.
DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.
Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.
Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.
Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.
Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.
проверка DNS после деплоя
проверка SPF/DKIM/DMARC
аудит DNS-конфигурации
контроль зоны DNS
v=spf1 TXT-запись.История DNS-проверок, API-ключи и мониторинг изменений записей.
Зарегистрироваться (FREE)Три фактора: (1) регистраторы (REG.RU, Timeweb) берут 500-2000₽/год за DNSSEC вместо бесплатно; (2) ФСБ требует использовать ГОСТ R 34.10-2012, а большинство клиентов DNSKEY не валидируют — несовместимо; (3) массовый Bitrix-хостинг не имеет UI для DS-update.
Чешский регистратор CZ.NIC с 2010 раздаёт DNSSEC бесплатно и автоматически. Включение по умолчанию при регистрации домена.
<a href="/dns">DNS-чекер Enterno.io</a> покажет DNSKEY/DS/RRSIG и валидацию. Или через внешний тестер: <code>dig +dnssec +trace example.ru</code>.
Домен станет unresolvable для валидирующих resolver'ов (1.1.1.1, 9.9.9.9) — клиенты получат SERVFAIL. Это 25-40% трафика крупных сайтов. Чинится commit'ом нового DS в TLD через регистратора.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.