Defaults.Exposed › Corrections › Configuration des serveurs de noms (diversité et SOA)

Comment corriger Configuration des serveurs de noms (diversité et SOA)

Vos serveurs de noms sont l'annuaire qui indique à tout internet où trouver votre site et votre messagerie. S'ils résident tous sur un même réseau et que celui-ci tombe, votre entreprise disparaît d'internet au même instant — plus de site, plus de messagerie, plus rien — et un réglage d'horloge bâclé sur ces serveurs peut laisser les changements que vous faites bloqués pendant des jours.

En clair, pour votre entreprise : Si tous les serveurs de noms de votre domaine résident sur un seul réseau, une panne ou une attaque sur ce réseau met votre site ET votre messagerie hors ligne ensemble — vous continuez à payer le personnel et les publicités pendant qu'aucun client ne peut vous joindre. Par ailleurs, des minuteurs SOA mal configurés peuvent laisser vos changements DNS (un nouveau serveur, un changement de fournisseur de messagerie, une redirection d'urgence) se propager pendant des jours au lieu d'heures.

Ce que cela peut vous coûter

• Le seul réseau sur lequel résident tous vos serveurs de noms passe un mauvais après-midi — une panne ou une attaque DDoS — et votre site comme votre messagerie disparaissent en même temps. Les clients reçoivent des pages d'erreur, votre boîte de réception commerciale rejette les messages, et votre prestataire web ne peut rien faire d'autre qu'attendre que le réseau d'un autre se rétablisse.
• L'équipe de sécurité d'un grand client fait une vérification fournisseur, voit tous vos serveurs de noms chez un seul prestataire sans redondance, et note votre domaine comme un point unique de défaillance — une friction sur un contrat que vous auriez autrement remporté.
• Vous passez à un nouvel hébergeur web ou changez de fournisseur de messagerie, mais un mauvais minuteur « refresh » dans votre enregistrement SOA fait que d'autres serveurs DNS continuent de distribuer votre ancienne adresse pendant des jours — si bien que certains clients atterrissent sur un site mort et que votre messagerie se scinde en deux.
• Un incident de sécurité vous force à rediriger le trafic d'urgence, mais vos minuteurs SOA disent au monde de mettre en cache vos anciens enregistrements pendant une semaine, de sorte que le changement fait il y a une heure n'a toujours pas atteint la moitié d'internet pendant que le problème continue.
• Vos deux serveurs de noms sont techniquement deux noms, mais ils résolvent vers la même baie sur le même réseau — la redondance que vous croyez avoir est donc une illusion, et une seule défaillance met encore tout à terre.

Pourquoi c'est important. Chaque visite de votre site et chaque e-mail qui vous est envoyé commence par une recherche auprès de vos serveurs de noms. Ils sont la fondation sur laquelle repose le reste de votre présence en ligne. Si cette fondation n'a aucune redondance, une seule défaillance fait tout tomber d'un coup ; si ses valeurs de minutage sont erronées, chaque changement que vous faites est lent à prendre effet — exactement quand vous pouvez le moins vous le permettre.

De quoi il s’agit, en clair

Avant que quiconque puisse atteindre votre site ou vous envoyer un e-mail, son ordinateur doit poser une question simple : « où vit réellement ce domaine ? » Les serveurs qui répondent à cette question sont vos serveurs de noms. Ils sont l’entrée d’annuaire de toute votre présence en ligne — la toute première chose que touchent chaque visiteur et chaque e-mail, avant même que votre site ou votre boîte de réception soient impliqués.

Cette page couvre deux parties pour bien faire cet annuaire :

1. La diversité — avez-vous au moins deux serveurs de noms, et résident-ils sur des parties véritablement distinctes du réseau, pour qu’une seule panne ne puisse pas tous les réduire au silence d’un coup ?
2. L’enregistrement SOA — un petit enregistrement « start of authority » qui contient les valeurs de minutage contrôlant combien de temps le reste d’internet fait confiance à vos réponses DNS et les met en cache. Mal réglés, les minuteurs font que chaque changement que vous faites met plus longtemps à atteindre le monde.

Ni l’un ni l’autre n’est glamour. Les deux sont des fondations. Quand ils sont bons, vous n’y pensez jamais ; quand ils sont mauvais, vous le découvrez au pire moment possible.

Ce que cela peut vous coûter

• Tout hors ligne d’un coup. Si tous vos serveurs de noms résident sur un seul réseau et que ce réseau subit une panne ou est frappé par une attaque DDoS, votre site et votre messagerie s’éteignent ensemble. Ce n’est pas théorique — un seul fournisseur DNS attaqué a déjà mis hors ligne des entreprises majeures et bien dotées pour la majeure partie d’une journée. Avec de la redondance entre réseaux, une défaillance est survivable ; sans elle, elle est totale.

• Une affaire perdue sur une vérification fournisseur. L’équipe de sécurité ou des achats d’un client plus important fait une vérification avant de signer, voit tous vos serveurs de noms concentrés chez un seul fournisseur sans repli, et signale votre domaine comme un point unique de défaillance. C’est le genre de petite marque évitable qui ajoute de la friction à un contrat que vous gagneriez autrement.

• Des changements qui ne prennent pas. Vous changez d’hébergeur web, déplacez vos fournisseurs de messagerie, ou devez rediriger le trafic en hâte. Un mauvais minuteur « refresh » ou « expire » dans votre enregistrement SOA fait que d’autres serveurs DNS continuent de servir votre ancienne réponse pendant des jours. La moitié de vos clients atterrissent sur le nouveau site, l’autre sur le mort ; une partie du courrier va à l’ancien fournisseur, une partie au nouveau. Le changement fait il y a une heure n’est toujours pas terminé.

• Une urgence que vous ne pouvez pas terminer rapidement. Pendant un incident de sécurité, vous devez détourner le trafic d’un serveur compromis maintenant. Si vos minuteurs SOA ont dit au monde de mettre vos enregistrements en cache pendant une semaine, votre correctif rampe à travers internet pendant que le problème continue de mordre.

• Une redondance qui n’en est pas une. Vous avez deux serveurs de noms, alors vous supposez être couvert — mais les deux résolvent vers la même baie sur le même réseau. La première défaillance matérielle emporte le tout, et le filet de sécurité sur lequel vous comptiez n’a jamais existé.

Ce que c’est vraiment

La diversité des serveurs de noms. Votre domaine devrait lister au moins deux serveurs de noms, et idéalement ils devraient résider sur des chemins réseau véritablement indépendants — pas juste deux noms pointant vers la même machine. En coulisses, chaque nom de serveur de noms résout vers une ou plusieurs adresses IP, et ce qui compte vraiment, c’est de savoir si ces adresses occupent des parties différentes du routage d’internet. Un fournisseur DNS sérieux répartit ses serveurs de noms sur de nombreux blocs réseau et emplacements distincts à travers le monde, de sorte que même deux serveurs de noms chez le même fournisseur vous donnent une redondance réelle et indépendante. Le cas de défaillance est l’inverse : un petit hébergeur unique où les deux « serveurs de noms » sont la même machine, si bien qu’une seule défaillance est totale.

Une note pour le lecteur technique : notre contrôle compte vos enregistrements NS puis examine combien de diversité réseau réelle se trouve derrière eux. Le signal principal est la dispersion des blocs réseau IP distincts vers lesquels les serveurs de noms résolvent (en gros, les plages /16 pour l’IPv4 et /32 pour l’IPv6), avec le nombre de noms de fournisseurs distincts en garde-fou. Cela crédite délibérément les fournisseurs hyperscale en Anycast — Cloudflare, Google, AWS Route 53, Azure DNS — qui annoncent une seule identité réseau depuis de nombreux chemins de routage globalement distincts et délivrent donc une vraie diversité même depuis une seule marque. Avoir moins de deux serveurs de noms donne zéro sur ce contrôle et est traité en gravité élevée, car c’est un point unique de défaillance non atténué pour l’ensemble du domaine.

L’enregistrement SOA. Chaque zone DNS a exactement un enregistrement Start of Authority. Il nomme le serveur de noms primaire et le contact administratif, porte un numéro de série qui s’incrémente à chaque changement, et — la partie qui compte pour votre entreprise — contient quatre minuteurs :

• Refresh — à quelle fréquence les serveurs de noms secondaires revérifient le primaire pour les changements. Bonne plage : environ 1 à 24 heures (3 600–86 400 secondes).
• Retry — au bout de combien de temps réessayer si un refresh échoue. Bonne plage : environ 5 à 60 minutes (300–3 600 secondes).
• Expire — combien de temps les secondaires continuent de servir vos enregistrements s’ils ne peuvent pas du tout joindre le primaire. Bonne plage : environ 1 à 4 semaines (604 800–2 419 200 secondes).
• TTL minimum — le plancher de durée de mise en cache des réponses (y compris les réponses « ce nom n’existe pas »). Doit être une valeur positive sensée ; 300 secondes est un choix courant.

À quoi ressemble une situation « correcte » : un SOA qui existe, a un contact administratif valide, et porte des minuteurs dans ces plages. Des valeurs hors plages ne sont pas fatales — mais elles ralentissent vos changements (minuteurs trop longs) ou chargent inutilement vos serveurs de noms (trop courts). Un SOA manquant ou réellement cassé est le cas le plus grave.

Comment corriger (gratuit, ~15 minutes)

Cette partie est pour la personne qui gère votre domaine ou votre DNS — si ce n’est pas vous, transmettez-lui cette section. Le correctif est gratuit ; nous ne facturons que pour surveiller qu’il reste corrigé.

Étape 1 — Assurez-vous d’avoir au moins deux serveurs de noms sur une infrastructure diversifiée.

1. Vérifiez ce que vous avez aujourd’hui. Lancez dig NS votredomaine.com (ou utilisez n’importe quel outil web de « recherche DNS ») et relevez les serveurs de noms. Deux ou plus est le minimum.
2. Si vous n’en avez qu’un, ou que les deux sont sur un seul petit hébergeur, déplacez votre DNS vers un fournisseur qui vous donne de la redondance par défaut. Pratiquement tout fournisseur sérieux le fait :
   • Cloudflare — attribue deux serveurs de noms répartis sur son réseau Anycast mondial automatiquement quand vous ajoutez un domaine.
   • AWS Route 53 — chaque zone hébergée reçoit quatre serveurs de noms répartis sur des réseaux Route 53 distincts.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — provisionnent de même plusieurs serveurs de noms sur une infrastructure indépendante.
3. Pour basculer, réglez les serveurs de noms de votre domaine chez votre bureau d’enregistrement (là où vous avez acheté le domaine — par ex. OVH, GoDaddy, Namecheap) sur ceux que vous donne votre nouveau fournisseur DNS. Ce changement peut mettre 24 à 48 heures à se propager pleinement.
4. Pour une résilience ceinture-et-bretelles, les entreprises plus grandes ou à plus haut risque peuvent faire tourner un DNS secondaire chez un second fournisseur indépendant (par ex. Cloudflare + Route 53, ou NS1 + Cloudflare). Pour la plupart des petites entreprises, c’est optionnel — un seul fournisseur réputé vous donne déjà une vraie redondance entre réseaux.

Étape 2 — Vérifiez (et au besoin corrigez) vos minuteurs SOA.

1. Lancez dig SOA votredomaine.com et relevez les valeurs refresh, retry, expire et TTL minimum.
2. Comparez-les aux plages ci-dessus. Dans la grande majorité des cas, votre fournisseur DNS a déjà réglé des valeurs par défaut sensées et il n’y a rien à faire.
3. Si une valeur est hors plage, corrigez-la là où votre DNS est hébergé :
   • Chez les fournisseurs gérés (Cloudflare, Route 53, Google, Azure), le SOA est largement géré pour vous ; vous l’ajustez généralement via les réglages DNS du fournisseur ou son support plutôt qu’à la main.
   • Sur un serveur de noms auto-géré (BIND, PowerDNS), modifiez directement la ligne SOA dans le fichier de zone et rechargez la zone — en pensant à incrémenter le numéro de série pour que les secondaires prennent en compte le changement.
4. Après tout changement, relancez les recherches pour confirmer que la liste des serveurs de noms et les minuteurs SOA semblent corrects.

Erreurs courantes

• Traiter « deux noms » comme « deux réseaux ». Deux noms de serveurs de noms qui résolvent vers la même machine ou la même baie sont un point unique de défaillance déguisé. Ce qui compte, ce sont des chemins réseau indépendants, pas le nombre de noms.
• Supposer que plus c’est toujours mieux, sans diversité. Cinq serveurs de noms tous sur un seul hébergeur fragile ne sont pas plus sûrs qu’un seul. La diversité l’emporte sur la quantité.
• Régler les minuteurs trop agressivement. Baisser le refresh ou le TTL minimum SOA à fond pour « rendre les changements instantanés » ne fait que matraquer vos serveurs de noms et peut aggraver les pannes, avec peu de bénéfice réel. Des valeurs par défaut sensées équilibrent déjà rapidité et charge.
• Régler expire trop bas. Si les secondaires cessent de servir votre zone trop tôt pendant une panne du primaire, un incident récupérable devient une panne totale. Gardez expire dans la plage des semaines.
• Modifier une zone à la main et oublier le numéro de série. Sur les serveurs de noms auto-gérés, les secondaires ne prennent en compte les changements que lorsque le numéro de série SOA augmente. Modifiez les enregistrements mais laissez le série tel quel, et votre « correctif » ne se propage jamais.
• Laisser le DNS sur la configuration par défaut du bureau d’enregistrement. Le DNS intégré de certains bureaux d’enregistrement est une configuration unique et minimale. Déplacer le DNS vers un vrai fournisseur vous donne généralement redondance et minuteurs SOA sains d’un seul coup.

En résumé

Vos serveurs de noms et leur enregistrement SOA sont la fondation sur laquelle tout le reste repose. Deux serveurs de noms sur des réseaux véritablement distincts font qu’une seule défaillance ne peut pas mettre toute votre entreprise hors ligne d’un coup ; des minuteurs SOA sensés font que les changements que vous faites atteignent réellement le monde rapidement. Les deux sont gratuits à bien régler, les deux sont généralement déjà en bon état dès l’instant où vous êtes chez un fournisseur DNS digne de ce nom, et les deux valent une vérification de deux minutes — car le jour où ils comptent est le jour où vous pouvez le moins vous permettre qu’ils soient mauvais.

FAQ