Defaults.Exposed › Corrections › DNSSEC

Comment corriger DNSSEC

Le DNSSEC est un sceau numérique apposé sur le carnet d'adresses de votre domaine. Il permet à internet de prouver que la réponse à « où vit ce domaine ? » vient bien de vous et n'a pas été falsifiée en chemin. Sans lui, la réponse peut être forgée — et vos visiteurs discrètement envoyés ailleurs.

En clair, pour votre entreprise : Sans DNSSEC, un attaquant capable d'empoisonner une réponse DNS peut diriger vos clients vers une copie parfaite de votre site tandis que leur navigateur affiche toujours votre vrai nom de domaine. Identifiants, numéros de carte et données personnelles sont récoltés, et vous ne l'apprenez qu'avec les rejets de paiement et les plaintes. Une configuration DNSSEC à moitié faite est pire encore : elle peut rendre votre site injoignable pour une part croissante de visiteurs sans aucune erreur que vous remarqueriez.

Ce que cela peut vous coûter

• Des visiteurs tapant votre vrai domaine sont silencieusement redirigés vers un sosie qui capture leur mot de passe et leurs coordonnées de carte — et comme la barre d'adresse affiche votre domaine tout du long, personne ne soupçonne rien jusqu'à l'arrivée des signalements de fraude.
• Votre messagerie est discrètement réacheminée : un attaquant forge la réponse pour vos serveurs de courrier, lit ou intercepte des messages, et réinitialise les mots de passe de comptes qui vous envoient un code par e-mail — le tout sans toucher à votre boîte de réception.
• Une configuration DNSSEC à moitié faite (le sceau public existe mais la clé correspondante manque) fait échouer aléatoirement votre site et votre messagerie pour des clients sur les grands fournisseurs d'accès et les réseaux d'entreprise — des rapports intermittents « votre site est en panne chez moi » que vous ne pouvez pas reproduire.
• L'équipe de sécurité d'un prospect lance une vérification avant contrat, ne voit aucun DNSSEC, et vous note comme faible sur les fondamentaux — mettant une affaire en péril pour un réglage gratuit.
• Les acheteurs du secteur public et les grands comptes B2B attendent de plus en plus le DNSSEC comme base (il est nommé dans des réglementations comme NIS2) ; son absence vous disqualifie discrètement des appels d'offres avant même qu'une conversation commence.

Pourquoi c'est important. Le DNS est le carnet d'adresses d'internet, et par défaut ses réponses circulent sans signature — quiconque peut glisser une réponse forgée peut envoyer vos clients et votre messagerie où il veut, avec votre vrai domaine toujours affiché dans le navigateur. Le DNSSEC appose un sceau infalsifiable sur ces réponses pour qu'elles puissent être vérifiées comme authentiquement vôtres. Le correctif est gratuit chez la plupart des fournisseurs ; le seul vrai coût est de mal le faire, c'est pourquoi nous détaillons soigneusement les deux moitiés.

Le DNSSEC, en clair

Chaque fois que quelqu’un visite votre site ou vous envoie un e-mail, son ordinateur pose d’abord à internet une question simple : « où vit réellement ce domaine ? » La réponse — l’ensemble des adresses de votre site et de vos serveurs de courrier — revient du DNS, le carnet d’adresses d’internet.

Voici la partie inconfortable : par défaut, ces réponses circulent sans signature. Rien n’y est attaché pour prouver que la réponse est authentique. Si quelqu’un peut glisser une réponse forgée dans cette conversation — et il existe des moyens connus et éprouvés de faire exactement cela — l’ordinateur de votre visiteur l’acceptera volontiers. Dès cet instant, le visiteur peut être en train de communiquer avec le serveur d’un attaquant tandis que son navigateur affiche toujours votre nom de domaine dans la barre d’adresse.

Le DNSSEC est le correctif. Il ajoute un sceau numérique infalsifiable à vos réponses DNS. Quand le DNSSEC est activé, internet peut vérifier mathématiquement qu’une réponse vient bien de vous et n’a pas été altérée en chemin. Une réponse forgée échoue au contrôle et est rejetée. C’est la différence entre un carnet d’adresses où n’importe qui peut griffonner et un où chaque entrée est signée et attestée.

Cette page couvre les deux parties que notre contrôle examine ensemble : si le sceau est publié (l’enregistrement DS) et si la clé correspondante derrière lui existe réellement (l’enregistrement DNSKEY). Vous verrez bientôt pourquoi les deux comptent — car avoir l’un sans l’autre est son propre genre d’ennui.

Ce que cela peut vous coûter

Ce sont des schémas réalistes et agrégés — pas une entreprise nommée en particulier.

• La redirection invisible. Un attaquant empoisonne la réponse DNS pour votre domaine. Les clients tapent votre vraie adresse web, voient votre vrai domaine dans la barre, et atterrissent sur une copie impeccable de votre page de connexion ou de paiement hébergée par l’attaquant. Chaque mot de passe et numéro de carte qu’ils saisissent va droit au criminel. Vous ne l’apprenez qu’au début des rejets de paiement et des appels « j’ai été piraté via votre site » — et la piste remonte à votre marque, pas à celle de l’attaquant.
• L’interception discrète de la messagerie. Le DNS ne pointe pas seulement vers votre site ; il pointe vers vos serveurs de courrier. Forgez cette réponse et le courrier entrant peut être réacheminé d’abord par un attaquant. Il lit les messages sensibles, récolte les codes à usage unique que les services envoient par e-mail pour « vérifier que c’est bien vous », et réinitialise les mots de passe de comptes liés à votre domaine — le tout sans jamais se connecter à votre boîte aux lettres.
• La panne que vous ne pouvez pas reproduire. Celle-ci vient d’une configuration DNSSEC à moitié faite. Le sceau public (DS) est posé chez votre bureau d’enregistrement, mais la clé correspondante (DNSKEY) manque ou est erronée. Les visiteurs sur les fournisseurs d’accès et les réseaux d’entreprise qui vérifient le DNSSEC — et il y en a de plus en plus chaque année — ne peuvent tout simplement pas résoudre votre domaine. Votre site et votre messagerie fonctionnent très bien pour vous et votre équipe technique, mais une part de vrais clients reçoit « ce site est inaccessible » sans aucune erreur que vous puissiez voir. C’est l’un des problèmes les plus difficiles à diagnostiquer, précisément parce qu’il est invisible de l’intérieur.
• L’affaire perdue. L’équipe de sécurité ou des achats d’un prospect lance un scan de routine avant contrat sur votre domaine. L’absence de DNSSEC apparaît comme un point rouge sur « les bases de la sécurité DNS ». Pour un contrôle gratuit et bien compris, son absence se lit comme de la négligence — et elle peut discrètement vous coûter un contrat dont vous ne saviez pas qu’il était en péril.
• L’appel d’offres auquel vous n’êtes même pas admissible. Les réglementations et les listes de contrôle des acheteurs nomment de plus en plus le DNSSEC comme hygiène de base attendue (il est référencé dans les dispositions de sécurité DNS de NIS2). Les grands acheteurs B2B et du secteur public peuvent vous écarter avant même qu’une conversation commerciale commence, simplement parce que la case n’est pas cochée.

Ce que c’est vraiment

Le DNSSEC fonctionne comme une chaîne de confiance, et il a deux pièces mobiles qui doivent s’accorder l’une avec l’autre. C’est le cœur de la raison pour laquelle notre contrôle examine deux choses.

La DNSKEY — votre clé. Votre fournisseur DNS détient une clé cryptographique et l’utilise pour signer vos enregistrements DNS. La moitié publique de cette clé est publiée sous forme d’enregistrement DNSKEY. Voyez-y le tampon-sceau détenu de votre côté.

L’enregistrement DS — l’empreinte qui se porte garante de la clé. Une courte empreinte de cette clé, appelée enregistrement DS (Delegation Signer), est publiée un niveau au-dessus — au registre de votre domaine, via votre bureau d’enregistrement. C’est ce qui permet au reste d’internet de faire confiance à votre clé : chaque niveau se porte garant de celui en dessous, jusqu’à la racine d’internet. Le DS est le sceau officiellement enregistré pour que tous les autres puissent le reconnaître.

Pour que le DNSSEC vous protège réellement, les deux doivent être présents et correspondre :

• DS présent + DNSKEY présente et correspondante → bon. La chaîne de confiance est complète. Les réponses forgées sont rejetées ; les légitimes sont vérifiées. C’est l’état « validé ».
• Pas de DS (ni de DNSKEY) → le DNSSEC n’est tout simplement pas activé. Vous n’avez aucune protection, mais rien n’est cassé. C’est l’état « pas encore fait » le plus courant. (Dans notre notation, c’est ici que le contrôle DS joue contre vous ; le contrôle combiné des clés traite un état proprement « désactivé » comme informatif plutôt que comme un échec dur, car rien ne casse activement.)
• DS présent, mais DNSKEY manquante ou non correspondante → cassé, et pire que désactivé. Internet voit un sceau publié pointant vers une clé qui n’est pas là. Les résolveurs validants concluent que votre domaine a été falsifié et refusent de le résoudre — provoquant les pannes intermittentes décrites plus haut. C’est l’état le plus urgent à corriger, et notre contrôle le signale en gravité élevée.
• DNSKEY présente, mais pas de DS chez le bureau d’enregistrement → activé mais pas mis en service. Vos enregistrements sont signés, mais comme l’empreinte n’a jamais été enregistrée un niveau au-dessus, le reste d’internet n’a aucun moyen de leur faire confiance. Vous faites le travail sans la protection. Le correctif est d’ajouter l’enregistrement DS chez votre bureau d’enregistrement.

À quoi ressemble une situation « correcte », en une ligne : un enregistrement DS chez votre bureau d’enregistrement dont l’empreinte correspond à une DNSKEY active chez votre fournisseur DNS, les deux confirmés par une recherche rapide.

Comment corriger (gratuit, ~10–30 minutes)

Transmettez cette section à la personne qui gère votre domaine ou votre site. Le correctif lui-même est gratuit chez la plupart des fournisseurs — le seul coût est de le faire soigneusement pour que les deux moitiés restent synchronisées. Nous ne facturons que si vous voulez ensuite que nous surveillions qu’il reste correctement activé.

La règle d’or : activez d’abord la signature (ce qui crée la DNSKEY), puis publiez l’enregistrement DS chez le bureau d’enregistrement — jamais l’inverse, et jamais l’un sans l’autre. Publier un DS avant que la clé existe est exactement ce qui provoque les pannes.

La voie simple (recommandée — Cloudflare) :

1. Dans Cloudflare, assurez-vous que Cloudflare gère réellement votre DNS (vos serveurs de noms pointent vers Cloudflare).
2. Allez dans DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare génère et gère les clés pour vous (cela crée automatiquement le côté DNSKEY).
3. Cloudflare vous montre les détails de l’enregistrement DS à publier chez votre bureau d’enregistrement.
4. Connectez-vous à votre bureau d’enregistrement (par ex. OVH, GoDaddy, Namecheap) et trouvez la section DNSSEC. Collez-y les valeurs DS que Cloudflare vous a données.
5. Attendez 24 à 48 heures pour la propagation complète. Votre site et votre messagerie continuent de fonctionner pendant ce temps.

Autres fournisseurs DNS (AWS Route 53, votre hébergeur web, etc.) :

1. Dans le panneau de contrôle de votre fournisseur DNS, activez le DNSSEC / « signer cette zone ». Cela génère les clés de signature et publie les enregistrements DNSKEY.
2. Copiez l’enregistrement DS que produit le fournisseur.
3. Ajoutez cet enregistrement DS chez votre bureau d’enregistrement sous ses réglages DNSSEC.
4. Confirmez que le bureau d’enregistrement l’a accepté et attendez la propagation.

Notes par plateforme :

• Cloudflare — activation en un clic, puis un seul collage de DS chez le bureau d’enregistrement. La voie la plus facile de loin.
• AWS Route 53 — activez la signature DNSSEC sur la zone hébergée, puis ajoutez l’enregistrement DS chez le bureau d’enregistrement de votre domaine (si le domaine est enregistré chez Route 53, AWS peut le lier pour vous).
• Microsoft 365 / Google Workspace — ces services gèrent votre messagerie, pas en général votre zone DNS. Le DNSSEC s’active là où résident réellement vos enregistrements DNS (souvent votre bureau d’enregistrement, hébergeur, ou Cloudflare), pas dans le centre d’administration 365/Workspace.
• Votre fournisseur DNS ne prend pas du tout en charge le DNSSEC ? C’est courant chez les hébergeurs plus anciens ou bas de gamme. Le correctif propre est de déplacer la gestion DNS vers un fournisseur qui le prend en charge (Cloudflare est gratuit), puis de suivre la voie simple ci-dessus. Déplacer le DNS n’impose pas de déplacer votre site ou votre messagerie.

Vérifiez que cela a fonctionné :

• Lancez dig DS votredomaine.com et dig DNSKEY votredomaine.com — les deux devraient renvoyer des enregistrements.
• Ou utilisez n’importe quel vérificateur DNSSEC en ligne gratuit et confirmez une chaîne de confiance verte/valide.
• Ne le considérez pas comme terminé tant que les deux ne renvoient pas des enregistrements correspondants. Un DS sans DNSKEY est l’état cassé — corrigez-le ou retirez-le immédiatement.

Erreurs courantes

• Publier le DS avant que la clé existe. L’erreur la plus dommageable : ajouter l’enregistrement DS chez le bureau d’enregistrement avant que la signature soit réellement active chez le fournisseur DNS. Cela crée l’état « sceau publié, clé manquante » qui rend votre domaine irrésolvable pour les visiteurs qui vérifient le DNSSEC. Activez toujours la signature d’abord, puis publiez le DS.
• Laisser un DS périmé après un changement de fournisseur. Si vous migrez de fournisseur DNS (ou désactivez la signature) mais oubliez de retirer ou mettre à jour l’ancien enregistrement DS chez le bureau d’enregistrement, vous restez à pointer vers une clé qui n’existe plus — même résultat cassé. Quand vous désactivez le DNSSEC ou le déplacez, mettez à jour le DS chez le bureau d’enregistrement dans le même changement.
• S’arrêter après la première étape. Activer la signature chez le fournisseur DNS (créant la DNSKEY) mais ne jamais ajouter le DS chez le bureau d’enregistrement. Tout paraît « activé » dans le tableau de bord DNS, mais sans DS la protection ne se met jamais en service. Vous avez fait le travail sans en tirer le moindre bénéfice.
• Supposer que le HTTPS ou l’authentification de la messagerie le couvre déjà. Le cadenas et l’authentification de la messagerie (SPF / DKIM / DMARC) sont précieux mais résolvent des problèmes différents. Aucun n’empêche une réponse DNS forgée d’envoyer les visiteurs au mauvais endroit dès le départ.
• Ne pas surveiller après l’activation. Les clés sont renouvelées, les fournisseurs changent, les enregistrements sont modifiés. Une configuration parfaite aujourd’hui peut casser silencieusement des mois plus tard. Si le DNSSEC compte assez pour être activé, il vaut une vérification périodique qu’il est toujours valide.

Où cela se situe dans votre note

Ces deux contrôles comptent tous deux pour votre score de Sécurité DNS. Le contrôle de l’enregistrement DS est traité comme le plus prioritaire des deux : un DS manquant est une vraie lacune et est noté comme un échec. Le contrôle DNSKEY confirme que le reste de la chaîne est intact — il ne passe que lorsqu’un DS et une DNSKEY correspondants sont tous deux présents, et il signale en gravité élevée l’état cassé dangereux « DS sans clé ». Un résultat propre « le DNSSEC n’est simplement pas encore activé » est le point de départ courant pour beaucoup d’entreprises ; passer de là à une paire DS + DNSKEY complète et correspondante est une amélioration gratuite et bien comprise qui renforce votre position en Sécurité DNS et supprime une véritable voie d’usurpation et d’interception.

Configurez-le chez votre hébergeur

Étape par étape pour les fournisseurs courants :

• Configurer DNSSEC sur GoDaddy
• Configurer DNSSEC sur Namecheap
• Configurer DNSSEC sur Cloudflare
• Configurer DNSSEC sur AWS Route 53

FAQ