Defaults.Exposed

Defaults.Exposed › Rapports

DNSSEC obligatoire : que révèle une adoption pilotée par les registres ? (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués, par terminaison de domaine nationale (un indicateur de la politique du registre, et non de la localisation de l’entreprise). « Porté par le registre » = le registre de la terminaison promeut activement DNSSEC par des incitations ou des exigences — surtout des incitations aux bureaux d’enregistrement, pas des obligations légales. « Valide » = une chaîne DNSSEC qui valide ; « cassé » = signé mais échouant à la validation. Voir comment nous évaluons.

Obliger les bureaux d’enregistrement à pousser DNSSEC fait-il vraiment bouger l’adoption ? Oui — de façon décisive — mais avec un bémol. Sur les terminaisons dont les registres portent DNSSEC, 9,1% des domaines ont une signature valide, contre seulement 1,3% sur les terminaisons qui le laissent aux propriétaires — environ 7× plus élevé. La politique fonctionne là où l’adoption volontaire stagne. Le bémol : même chez les leaders, plus de domaines cassent DNSSEC qu’ils ne le réussissent — donc la pression du registre résout son activation, pas sa mise en œuvre correcte.

Pousser DNSSEC augmente-t-il l’adoption ?

Sans ambiguïté. Les terminaisons nationales portées par le registre se regroupent autour de 10–18 % de DNSSEC valide ; les terminaisons de laissez-faire se situent près du plancher mondial de 1,99%. Un pourcentage de valides plus élevé est meilleur ; le pourcentage de cassés est le coût de l’erreur. Au 2026-06-29 :

TerminaisonPosition du registreDNSSEC valideCassé
.se (Suède)Porté (incitations aux registrars)18,38%30,35%
.no (Norvège)Porté16,59%25,24%
.sk (Slovaquie)Porté16,61%25,59%
.cz (Tchéquie)Porté (incitations aux registrars)14,62%26,28%
.nl (Pays-Bas)Porté (incitations aux registrars)11,86%22,98%
.fr (France)Porté5,13%9,54%
.comLaissez-faire1,62%2,44%
.de (Allemagne)Laissez-faire0,92%1,60%
.uk (Royaume-Uni)Laissez-faire1,06%1,72%

Les 18,38% de la Suède représentent plus de dix fois les 1,62% de .com. L’écart ne tient pas à la technologie — c’est le même protocole partout — mais à la question de savoir si quelqu’un dans la chaîne avait une raison de le déployer.

Le bémol : plus de cassé que de fonctionnel

Voici la moitié inconfortable. Dans chaque terminaison portée par le registre ci-dessus, le taux de cassés est plus élevé que le taux de valides — la Suède affiche 30,35% de cassés contre 18,38% de valides ; les Pays-Bas 22,98% contre 11,86%. Sur l’ensemble des terminaisons portées, c’est 15,7% de cassés contre 9,1% de valides.

Cela importe parce qu’un DNSSEC cassé n’est pas anodin : un résolveur validant refusera de résoudre un domaine dont les signatures ne se vérifient pas, donc une mauvaise configuration peut mettre le domaine hors ligne — site web et e-mail — pour une partie d’internet. Porter l’adoption sans porter la justesse fait croître les pannes en même temps que la protection. C’est le même problème d’exécution que tout le web montre dans le paradoxe DNSSEC, simplement amplifié là où plus de domaines s’y essaient.

Pourquoi la politique du registre l’emporte sur le fait de le laisser aux propriétaires

DNSSEC n’a aucun événement contraignant pour un propriétaire individuel : rien ne casse ni n’avertit si vous l’omettez, donc sur une terminaison de laissez-faire comme .com l’adoption reste plate près de 1,62% indéfiniment. Les registres qui s’en sont affranchis l’ont fait par l’économie, pas par des édits — typiquement des incitations aux bureaux d’enregistrement (remises ou ristournes pour la signature des zones) plus l’automatisation des fournisseurs, ce qui a permis aux registres nordiques, tchèque et néerlandais de hisser toute leur population. C’est une expérience naturelle nette : même protocole, même difficulté, résultats très différents — et la différence, c’est la politique du registre.

Obligation ou incitation — qu’est-ce qui fait vraiment bouger les choses ?

Surtout l’incitation. Malgré le cadrage « obligatoire » sous lequel la question est généralement posée, les terminaisons à forte adoption ici encouragent généralement DNSSEC plutôt que de l’imposer légalement ; les obligations strictes sont plus rares (certains gouvernements l’exigent pour les domaines du secteur public). La leçon pour tout registre : aligner l’économie des bureaux d’enregistrement et l’automatisation vers la signature fonctionne — mais cela devrait s’accompagner d’une signature gérée et d’un renouvellement des clés, sinon vous fabriquez simplement davantage de zones cassées.

Foire aux questions

Exiger ou inciter à DNSSEC augmente-t-il vraiment l’adoption ? Oui — environ 7× dans nos données : 9,1% de valides sur les terminaisons portées par le registre contre 1,3% sur celles de laissez-faire, au 2026-06-29.

Quel pays ou quel TLD a le plus de DNSSEC ? Parmi les grandes terminaisons, la Suède (.se) est en tête avec 18,38% de valides — plus de dix fois les 1,62% de .com.

Si l’adoption est plus élevée, DNSSEC est-il fait correctement ? Souvent non. Dans chaque terminaison à forte adoption, le DNSSEC cassé dépasse le valide (15,7% contre 9,1% sur l’ensemble des terminaisons portées) — et un DNSSEC cassé peut mettre un domaine hors ligne.

Une petite entreprise devrait-elle activer DNSSEC ? Seulement s’il est géré correctement — une signature cassée est pire que rien. Utilisez un fournisseur qui gère la signature et le renouvellement des clés, et vérifiez qu’il valide. Voir comment réparer DNSSEC.

Vérifiez le DNS de votre domaine

Voyez si votre DNSSEC est valide, cassé ou absent — ainsi que le reste de votre posture — en toute confidentialité et gratuitement.

Vérifiez votre domaine → · Le paradoxe DNSSEC → · Qui gère le DNS d’internet ? → · Réparer DNSSEC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.