DNSSEC в Рунете: отчёт об адопции 2026
Enterno.io просканировал DNSSEC для 2.6M активных доменов .ru/.рф/.su (март 2026). Подписаны — 4.1% (против 15% средних по глобальному интернету и 52% в .cz). Главные блокеры: регистраторы включают DNSSEC за плату, большинство хостеров не поддерживают key rollover, банковский сегмент заблокирован CryptoPro-только-подписью. Единственный крупный сегмент с DNSSEC — госсайты .gov.ru (83%).
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Ключевые результаты
| Метрика | Pass-rate / значение | Медиана | p75 |
|---|---|---|---|
| Всего подписано (.ru + .рф + .su) | 4.1% | — | — |
| .gov.ru (госсектор) | 83% | — | — |
| .ru commerical | 3.2% | — | — |
| Валидная DS-запись в TLD | 96% | — | — |
| Key rollover в последние 12 мес | 31% | — | — |
| Использует ECDSA (Алгоритм 13) | 62% | — | — |
Разбивка по платформам
| Платформа | Доля | Pass / деталь | avg LCP |
|---|---|---|---|
| REG.RU | 28% рынка | DNSSEC: 2% (платная опция) | — |
| Timeweb | 12% | DNSSEC: 8% | — |
| Beget | 7% | DNSSEC: 0% (не поддерживает) | — |
| Yandex Cloud DNS | 5% | DNSSEC: 91% | — |
| Cloudflare DNS (для .ru) | 4% | DNSSEC: 58% | — |
| Всё остальное | 44% | DNSSEC: 2.8% | — |
Почему это важно
- DNSSEC защищает от DNS-spoofing атак и DNS-cache poisoning — критично для банковского и госсектора
- Без DNSSEC возможны атаки уровня NotPetya (использовала spoofed update-серверы)
- DNSSEC — пререкивизит DANE (SMTP auth через DNS) и CAA-enforcement
- При включении нужен key rollover каждые 3-12 мес — большинство mass-хостеров этого не делают, что оставляет домен временно unresolvable
Методология
DNS-запросы DNSKEY, DS, RRSIG через dig и delv для 2.6M доменов (выборка из .ru/.рф/.su zone files Координационного Центра). Валидация RRSIG через unbound + trust anchor .ru. Проверка key rollover — сравнение DNSKEY RR-set с snapshot 12 мес назад. Алгоритм key определён по DNSKEY Algorithm field.
Почему нам доверяют
Как это работает
Введите домен
Выберите тип записи
Получите DNS-ответ
Что такое DNS-записи?
DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.
Полный анализ
Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.
Мгновенный результат
Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.
Проверка безопасности
Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.
Экспорт и история
Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.
Кому это нужно
DevOps
проверка DNS после деплоя
Email-маркетологи
проверка SPF/DKIM/DMARC
SEO-специалисты
аудит DNS-конфигурации
Системные администраторы
контроль зоны DNS
Частые ошибки
v=spf1 TXT-запись.Лучшие практики
Получите больше с бесплатным аккаунтом
История DNS-проверок, API-ключи и мониторинг изменений записей.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Почему в Рунете DNSSEC адопция ниже среднего?
Три фактора: (1) регистраторы (REG.RU, Timeweb) берут 500-2000₽/год за DNSSEC вместо бесплатно; (2) ФСБ требует использовать ГОСТ R 34.10-2012, а большинство клиентов DNSKEY не валидируют — несовместимо; (3) массовый Bitrix-хостинг не имеет UI для DS-update.
.cz имеет 52% DNSSEC — как так?
Чешский регистратор CZ.NIC с 2010 раздаёт DNSSEC бесплатно и автоматически. Включение по умолчанию при регистрации домена.
Как проверить DNSSEC своего домена?
<a href="/dns">DNS-чекер Enterno.io</a> покажет DNSKEY/DS/RRSIG и валидацию. Или через внешний тестер: <code>dig +dnssec +trace example.ru</code>.
Что сломается при неправильном key rollover?
Домен станет unresolvable для валидирующих resolver'ов (1.1.1.1, 9.9.9.9) — клиенты получат SERVFAIL. Это 25-40% трафика крупных сайтов. Чинится commit'ом нового DS в TLD через регистратора.