Defaults.Exposed › Configuration › DNSSEC

Comment configurer le DNSSEC sur GoDaddy

Activez le DNSSEC dans GoDaddy d'un simple bouton pour que personne ne puisse falsifier vos réponses DNS ni détourner votre domaine.

Pourquoi cela compte pour votre activité

Lorsqu’une personne visite votre site web ou vous envoie un e-mail, son ordinateur interroge d’abord le système DNS pour obtenir la bonne adresse. Ces réponses circulent normalement sans signature : un attaquant capable de les altérer peut donc discrètement envoyer vos visiteurs vers un faux site ou rerouter vos e-mails vers son propre serveur — alors que votre véritable domaine continue de s’afficher dans la barre d’adresse.

Le DNSSEC (Domain Name System Security Extensions, « extensions de sécurité du DNS ») y met fin. Il signe cryptographiquement vos réponses DNS, de sorte que toute personne vous recherchant peut prouver que la réponse provient réellement de vous et n’a pas été modifiée en chemin. En clair : il bloque le détournement de domaine et l’empoisonnement de cache, ces attaques qui retournent votre propre domaine contre vos clients. C’est gratuit, et sur GoDaddy il s’agit généralement d’un simple bouton.

Comment fonctionne le DNSSEC (et pourquoi c’est simple ici)

Le DNSSEC comporte deux moitiés : l’hébergeur DNS signe vos enregistrements et publie les clés (un DNSKEY) ainsi qu’une petite empreinte appelée enregistrement DS (Delegation Signer), et le bureau d’enregistrement dépose cet enregistrement DS dans la zone parente afin que le reste d’Internet puisse faire confiance aux signatures.

Lorsque GoDaddy est à la fois votre bureau d’enregistrement et votre hébergeur DNS — ce qui est le cas de la plupart des domaines GoDaddy utilisant les serveurs de noms GoDaddy — GoDaddy s’occupe des deux moitiés pour vous. Vous actionnez un seul bouton ; GoDaddy génère les clés et dépose automatiquement l’enregistrement DS dans la chaîne. Aucune copie de valeurs d’un système à l’autre.

Le vrai risque — quand ce n’est pas si simple

Le DNSSEC peut mettre votre domaine hors ligne s’il est mal configuré. Le danger survient surtout lorsque le bureau d’enregistrement et l’hébergeur DNS sont des sociétés différentes, ou lorsque vous changez d’hébergeur DNS :

• Si votre domaine est enregistré chez GoDaddy mais que votre DNS est hébergé ailleurs, le bouton en un clic de GoDaddy ne s’applique pas — vous devez activer la signature chez votre véritable hébergeur DNS et ajouter l’enregistrement DS chez GoDaddy à la main.
• Si vous déplacez un jour votre DNS hors de GoDaddy, désactivez d’abord le DNSSEC. Un enregistrement DS résiduel qui ne correspond plus à aucun hébergeur de signature actif fera échouer les résolutions et plongera le domaine dans le noir.

Si GoDaddy est à la fois bureau d’enregistrement et hébergeur DNS, la procédure en un clic ci-dessous est sûre.

Vérifiez que GoDaddy gère bien votre DNS

Cela n’a d’importance que si GoDaddy répond réellement au DNS de votre domaine. Vérifiez que votre domaine utilise les serveurs de noms GoDaddy : dans votre compte GoDaddy, ouvrez le domaine et consultez le réglage Serveurs de noms (Nameservers). S’il affiche les serveurs de noms de GoDaddy, la procédure en un clic est la bonne voie. Si les serveurs de noms pointent vers un autre prestataire (par exemple un hébergeur DNS distinct), activez plutôt le DNSSEC chez ce prestataire, puis ajoutez chez GoDaddy l’enregistrement DS qu’il vous fournit.

Étape par étape sur GoDaddy (un clic, GoDaddy est bureau d’enregistrement et hébergeur DNS)

1. Connectez-vous à votre compte GoDaddy.
2. Accédez à Mes produits (ou Portefeuille de domaines).
3. Repérez votre domaine et ouvrez sa page de gestion — cliquez sur le nom du domaine ou sur le menu à trois points et choisissez Gérer le DNS / Paramètres du domaine.
4. Faites défiler jusqu’à la section Paramètres supplémentaires (sur certains comptes, elle apparaît sous Gestion du DNS).
5. Repérez DNSSEC et cliquez sur Gérer ou sur le bouton.
6. Basculez DNSSEC sur activé.
7. Confirmez. GoDaddy génère les clés, signe votre zone et publie l’enregistrement DS dans la chaîne pour vous — il n’y a rien à copier ailleurs.

Étape par étape lorsque votre DNS est hébergé ailleurs

Si GoDaddy n’est que votre bureau d’enregistrement et qu’une autre société héberge votre DNS :

1. Activez d’abord le DNSSEC chez votre hébergeur DNS et copiez l’enregistrement DS qu’il produit (vous aurez besoin de Key Tag, Algorithm, Digest Type et Digest).
2. Dans GoDaddy, ouvrez le domaine et repérez la section DNSSEC sous Paramètres supplémentaires.
3. Choisissez d’ajouter un enregistrement DS et saisissez exactement les valeurs fournies par votre hébergeur DNS.
4. Enregistrez. L’enregistrement DS est désormais déposé dans la zone parente, ce qui complète la chaîne.

Pièges fréquents propres à GoDaddy

• Vérifiez d’abord qui héberge votre DNS. Le simple bouton en un clic ne fait tout le travail que si GoDaddy est à la fois bureau d’enregistrement et hébergeur DNS. Si le DNS est hébergé ailleurs, le bouton seul ne suffit pas.
• Ne l’activez pas à deux endroits. Si votre hébergeur DNS signe déjà la zone, vous ajoutez seulement son enregistrement DS chez GoDaddy — vous n’actionnez pas aussi le propre bouton de signature de GoDaddy, sous peine d’avoir deux configurations concurrentes.
• Copiez les valeurs DS exactement lors d’une saisie manuelle. Un seul caractère erroné dans le Digest casse la chaîne et peut mettre le domaine hors ligne.
• Désactivez le DNSSEC avant de changer de DNS. Migrer vers un nouvel hébergeur DNS avec un enregistrement DS périmé encore en place est la façon classique de mettre un domaine hors ligne.
• Laissez-lui le temps. Les changements peuvent mettre de quelques minutes à une journée pour se propager entièrement.

Vérifiez que cela a fonctionné

Une fois le DNSSEC activé (et tout enregistrement DS en place), lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si le DNSSEC est correctement publié et reconnu pour votre domaine.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.