Defaults.Exposed

Defaults.Exposed › Rapports

Le paradoxe DNSSEC : plus de domaines le cassent qu'ils ne le réussissent (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués. Voir comment nous notons.

DNSSEC est censé rendre votre domaine plus difficile à détourner — mais il est si délicat que plus de domaines l’ont cassé qu’opérationnel. Sur 261 millions de domaines, 3,02% ont un DNSSEC signé mais cassé, contre seulement 1,99% qui l’ont valide. Les 94,99% restants n’essaient même pas. Le DNS est la couche que la conversation sur la sécurité oublie — et les chiffres le montrent.

Ce que disent les données

État du DNSSECPart des domaines
Valide (signé, fonctionnel)1,99%
Cassé (signé, mal configuré)3,02%
Non signé du tout94,99%

Plus de domaines figurent dans la ligne cassé que dans la ligne valide. C’est le paradoxe : parmi la petite minorité qui active DNSSEC, la majorité s’y prend mal.

Pourquoi un DNSSEC cassé est-il pire que pas de DNSSEC ?

Un DNSSEC non signé est simplement non protégé. Un DNSSEC cassé est activement dangereux : un résolveur validant refusera de résoudre un domaine dont les signatures ne concordent pas, de sorte qu’une mauvaise configuration peut mettre votre domaine complètement hors ligne pour une partie d’Internet — pas de site web, pas d’e-mail — jusqu’à ce qu’elle soit corrigée. La fonction même censée vous protéger devient une panne auto-infligée. Ce risque, ajouté à un renouvellement de clés et un transfert de registraire véritablement délicats, explique pourquoi l’adoption reste proche du plancher.

Le déficit plus large de sécurité du DNS

DNSSEC n’est pas le seul contrôle DNS négligé. Les enregistrements CAA — qui restreignent qui peut émettre des certificats TLS pour votre domaine et bloquent discrètement une catégorie d’attaques par émission frauduleuse — sont présents sur seulement 1,56% des domaines. Le DNS est fondamental : s’il est détourné, tout autre contrôle en aval peut être contourné. Pourtant, c’est la couche que le moins de propriétaires touchent jamais.

Dois-je activer DNSSEC ?

Pour la plupart des petites entreprises, l’ordre de priorité est d’abord l’authentification des e-mails et HTTPS — ce sont eux qui arrêtent les attaques que vous subissez réellement au quotidien. DNSSEC compte, mais seulement bien fait : une signature cassée est pire que rien. Si vous l’activez, utilisez un fournisseur qui gère la signature et le renouvellement des clés à votre place, puis vérifiez ensuite qu’il valide de bout en bout. Voir réparer DNSSEC et réparer CAA.

Foire aux questions

Un DNSSEC cassé est-il vraiment pire que pas de DNSSEC ? Oui. L’absence de DNSSEC signifie simplement aucune protection supplémentaire. Un DNSSEC cassé peut empêcher votre domaine de se résoudre sur les réseaux validants — mettant votre site et votre messagerie hors ligne jusqu’à la correction.

Quelle part des domaines utilise correctement DNSSEC ? Seulement 1,99% au 2026-06-29 — moins que les 3,02% qui l’ont signé mais cassé.

Qu’est-ce qu’un enregistrement CAA et m’en faut-il un ? CAA restreint quelles autorités de certification peuvent émettre des certificats pour votre domaine, bloquant une catégorie d’émissions frauduleuses. Seuls 1,56% des domaines en définissent un. C’est un ajout peu coûteux et à faible risque.

Une petite entreprise doit-elle prioriser DNSSEC ? Généralement après l’authentification des e-mails et HTTPS. Faites-les d’abord ; ajoutez DNSSEC seulement si vous pouvez le gérer correctement.

Vérifiez gratuitement la sécurité DNS de votre domaine

Consultez votre statut DNSSEC et CAA — et les contrôles qui comptent davantage — en privé et réservé au propriétaire.

Vérifiez votre domaine → · Réparer DNSSEC → · Réparer CAA → · Comment nous notons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.