Defaults.Exposed › Configuration › DNSSEC

Comment configurer le DNSSEC sur Namecheap

Activez le DNSSEC dans Namecheap pour que personne ne puisse falsifier vos réponses DNS et rediriger vos visiteurs ou vos e-mails.

Pourquoi cela compte pour votre activité

Chaque fois qu’une personne ouvre votre site web ou vous écrit, son ordinateur demande au système DNS où vous trouver. Ces réponses circulent généralement sans signature : un attaquant capable d’interférer avec la résolution peut donc silencieusement envoyer vos visiteurs vers un site contrefait ou rerouter vos e-mails vers son propre serveur — tout en laissant votre véritable domaine s’afficher dans la barre d’adresse.

Le DNSSEC (Domain Name System Security Extensions, « extensions de sécurité du DNS ») ferme cette porte. Il signe cryptographiquement vos réponses DNS, de sorte que toute personne vous recherchant peut confirmer que la réponse provient réellement de vous et n’a pas été altérée en chemin. En clair : il prévient le détournement de domaine et l’empoisonnement de cache, ces attaques qui transforment votre propre domaine en arme contre vos clients. C’est gratuit, et lorsque Namecheap gère votre DNS cela se résume presque à un seul clic.

Comment fonctionne le DNSSEC (et pourquoi Namecheap peut être simple)

Le DNSSEC comporte deux moitiés : l’hébergeur DNS signe vos enregistrements et publie les clés (un DNSKEY) ainsi qu’une petite empreinte appelée enregistrement DS (Delegation Signer), et le bureau d’enregistrement dépose cet enregistrement DS dans la zone parente afin que le reste d’Internet fasse confiance aux signatures.

Lorsque Namecheap est à la fois votre bureau d’enregistrement et votre hébergeur DNS — c’est-à-dire que votre domaine utilise Namecheap BasicDNS / PremiumDNS — Namecheap gère les deux moitiés d’un seul bouton. Il signe la zone et publie l’enregistrement DS dans la chaîne pour vous. Lorsque votre DNS est hébergé ailleurs, vous copiez plutôt à la main l’enregistrement DS de cet hébergeur dans Namecheap.

Le vrai risque — procédez dans l’ordre

Le DNSSEC peut mettre votre domaine hors ligne s’il est mal configuré. Cela arrive de deux façons :

• Un enregistrement DS déposé chez le bureau d’enregistrement qui ne correspond pas à ce avec quoi l’hébergeur DNS signe réellement.
• Le déplacement de votre DNS vers un autre hébergeur (ou la désactivation de la signature) sans retirer au préalable l’enregistrement DS — l’enregistrement DS périmé continue d’exiger des signatures qui n’existent plus, et les résolutions échouent.

Donc : si vous déplacez un jour le DNS hors de Namecheap, ou hors des serveurs de noms Namecheap, désactivez le DNSSEC et supprimez l’enregistrement DS d’abord, puis déplacez. Suivez la procédure ci-dessous dans l’ordre et vous serez à l’abri.

Vérifiez que Namecheap gère bien votre DNS

Vérifiez ce qui répond au DNS de votre domaine. Dans votre compte Namecheap, ouvrez le domaine et consultez le réglage Nameservers sur l’onglet Domain :

• S’il est réglé sur Namecheap BasicDNS ou Namecheap Web Hosting DNS / PremiumDNS, Namecheap héberge votre DNS — utilisez la procédure en un clic.
• S’il affiche Custom DNS pointant vers un autre prestataire, c’est ce prestataire qui héberge votre DNS — activez d’abord le DNSSEC là-bas, puis ajoutez dans Namecheap l’enregistrement DS qu’il vous fournit.

Étape par étape sur Namecheap (Namecheap est bureau d’enregistrement et hébergeur DNS)

1. Connectez-vous à Namecheap.
2. Accédez à Domain List et cliquez sur Manage à côté de votre domaine.
3. Ouvrez l’onglet Advanced DNS.
4. Faites défiler jusqu’à la section DNSSEC.
5. Basculez DNSSEC sur activé.
6. Confirmez. Avec le DNS propre à Namecheap, Namecheap signe la zone et publie l’enregistrement DS dans la chaîne pour vous — il n’y a rien à copier ailleurs.

Étape par étape lorsque votre DNS est hébergé ailleurs

Si Namecheap est votre bureau d’enregistrement mais qu’une autre société héberge votre DNS :

1. Activez d’abord le DNSSEC chez votre hébergeur DNS et copiez les valeurs de l’enregistrement DS qu’il produit — généralement Key Tag, Algorithm, Digest Type et Digest.
2. Dans Namecheap, ouvrez le domaine et accédez à l’onglet Advanced DNS, puis à la section DNSSEC.
3. Ajoutez un enregistrement DS et saisissez exactement les valeurs de votre hébergeur DNS dans les champs correspondants.
4. Enregistrez. L’enregistrement DS est désormais déposé dans la zone parente, ce qui complète la chaîne de confiance.

Pièges fréquents propres à Namecheap

• Le bouton ne fait tout que lorsque Namecheap héberge aussi votre DNS. En mode Custom DNS, l’actionner seul ne suffit pas — vous devez coller l’enregistrement DS de votre véritable hébergeur DNS.
• Ne signez pas deux fois. Si votre hébergeur DNS externe signe déjà la zone, vous saisissez seulement son enregistrement DS chez Namecheap — vous n’activez pas en plus la signature propre de Namecheap.
• Copiez les valeurs DS caractère par caractère. Un seul chiffre erroné dans le Digest fait que le DS ne correspondra pas aux signatures, ce qui est précisément ce qui met un domaine hors ligne. Collez, ne retapez jamais.
• Faites correspondre les numéros d’algorithme et de type de digest à ce que rapporte votre hébergeur DNS — ne devinez pas.
• Désactivez le DNSSEC avant de changer de serveurs de noms. Changer d’hébergeur DNS avec un enregistrement DS périmé encore en place est la façon classique de mettre un domaine hors ligne.
• Laissez-lui le temps. Les changements peuvent mettre de quelques minutes à une journée pour se propager entièrement.

Vérifiez que cela a fonctionné

Une fois le DNSSEC activé (et tout enregistrement DS en place), lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si le DNSSEC est correctement publié et reconnu pour votre domaine.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.