Defaults.Exposed › Rapports
Qu'est-ce que DNSSEC — et en avez-vous vraiment besoin ? (2026)
Publié 2026-07-01
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines notés. DNSSEC ajoute des signatures cryptographiques au DNS afin qu’un résolveur puisse prouver qu’une réponse provient réellement de vous et n’a pas été altérée. Voir comment nous notons.
DNSSEC appose une signature sur chaque réponse DNS de votre domaine, de sorte qu’un attaquant ne peut pas y glisser discrètement une fausse réponse et rediriger vos visiteurs ailleurs. C’est l’un des contrôles les moins adoptés sur le web : seuls 1,99 % des 261 millions de domaines disposent d’une chaîne signée valide. C’est aussi l’un des rares où une mauvaise configuration est pire que l’absence totale — 3,02 % des domaines sont signés mais défectueux, ce qui peut les rendre inaccessibles. Voici ce qu’il fait et si vous en avez besoin.
Contre quoi DNSSEC protège réellement
Le DNS ordinaire n’a aucun moyen de prouver qu’une réponse est authentique. Cela ouvre la porte à l’empoisonnement de cache et à l’usurpation DNS sur le chemin — un attaquant fournit un enregistrement falsifié à un résolveur et dirige vos visiteurs, ou votre courrier électronique, vers son serveur, sans aucun avertissement de certificat pour le trahir. DNSSEC comble cette faille en signant les enregistrements, de sorte qu’un résolveur validant rejette tout ce qui ne peut pas être vérifié.
Ce qu’il ne fait pas : il ne chiffre pas le DNS, ne sécurise pas le site web lui-même et ne remplace pas HTTPS, DMARC ni CAA. C’est une seule couche — l’intégrité des réponses DNS.
L’état de l’adoption
- 1,99 % signés et valides.
- 3,02 % signés mais défectueux — une signature qui échoue à la validation, ce qui peut rendre le domaine indisponible pour quiconque utilise un résolveur validant. C’est le risque qui rend les gens méfiants.
- Là où un registre le promeut activement, l’adoption est bien plus élevée : les extensions nationales pilotées par un registre atteignent 9,1 % de validité, contre 1,3 % pour les autres extensions nationales. L’adoption est un levier de politique, non une limite technique. Voir le DNSSEC obligatoire fonctionne-t-il et le paradoxe DNSSEC.
Selon l’extension de domaine, la validité de DNSSEC varie fortement : 18,38 % sur .se, 11,86 % sur .nl, 14,62 % sur .cz — contre seulement 1,62 % sur .com.
En avez-vous besoin ?
- Les domaines à forte valeur ou ciblés — banques, administrations, infrastructures, tout ce où rediriger les utilisateurs ou le courrier constitue un enjeu sérieux — en bénéficient le plus.
- Les organisations soumises à des exigences de conformité — DNSSEC apparaît de plus en plus dans les questionnaires de sécurité et certaines règles sectorielles.
- Tous les autres — c’est une mesure de renforcement raisonnable si votre hébergeur DNS la rend accessible en un clic et gère les renouvellements de clés à votre place. Si l’activer implique de gérer manuellement des clés que vous risquez de mal configurer, le risque de signature défectueuse est réel — faites-le là où c’est automatisé.
Comment l’activer en toute sécurité
- Utilisez un hébergeur DNS qui automatise DNSSEC — la signature et le renouvellement des clés sont gérés pour vous (la plupart des grands fournisseurs le proposent désormais en un clic). Voir corriger DNSSEC.
- Activez la signature, puis publiez l’enregistrement DS chez votre registraire pour compléter la chaîne de confiance.
- Vérifiez que la chaîne se résout avant de passer à autre chose — un domaine signé mais défectueux est pire qu’un domaine non signé.
- Ne gérez jamais les clés manuellement à moins de disposer des outils pour les renouveler de façon fiable.
Foire aux questions
Qu’est-ce que DNSSEC en termes simples ? C’est un ensemble de signatures numériques sur vos enregistrements DNS, permettant aux résolveurs de prouver que la réponse est authentique et n’a pas été falsifiée en transit.
Ai-je vraiment besoin de DNSSEC ? Il est particulièrement utile pour les domaines fortement ciblés et là où la conformité l’exige. Pour tous les autres, c’est une bonne mesure de renforcement si votre hébergeur DNS l’automatise — le principal risque est une mauvaise configuration, qu’ont actuellement 3,02 % des domaines.
DNSSEC chiffre-t-il mon DNS ? Non. Il prouve l’intégrité (la réponse est authentique) mais ne masque pas la requête. C’est une technologie différente (DoH/DoT).
DNSSEC peut-il casser mon site web ? Une signature défectueuse ou expirée peut rendre votre domaine impossible à résoudre pour quiconque utilise un résolveur validant. C’est pourquoi la signature automatisée et le renouvellement des clés sont importants.
DNSSEC est-il gratuit ? Oui sur la plupart des hébergeurs DNS modernes — c’est un paramètre, pas un achat.
Vérifiez gratuitement le DNSSEC de votre domaine
Découvrez si votre domaine est signé, valide et correctement chaîné — en toute confidentialité, réservé au propriétaire.
Vérifiez votre domaine → · Corriger DNSSEC → · Le DNSSEC obligatoire fonctionne-t-il ? → · Comment nous notons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.