Pourquoi rien ne change pendant des heures après une mise à jour ?

**Le cache.** Chaque résolveur DNS (votre FAI, Google, Cloudflare) garde une réponse pendant la durée de son **TTL** (Time To Live). Le TTL typique est **300 secondes (5 minutes)** pour les enregistrements A, mais souvent **86400 secondes (24h)** pour les NS. Tant que le TTL n'a pas expiré, le résolveur renvoie l'**ancienne valeur** au lieu de réinterroger le serveur autoritaire. Le **mode propagation** de cet outil indique quels résolveurs voient déjà la nouvelle valeur et lesquels servent encore l'ancienne. Si vous avez besoin d'une bascule rapide, **abaissez le TTL à 60 secondes la veille** du changement, puis remontez-le une fois que tout va bien.

Pourquoi l'enregistrement A renvoie-t-il plusieurs IPs ?

Parce que le site a **plusieurs serveurs derrière un load balancer** (Cloudflare, AWS, Google et Facebook font tous ça). Le résolveur renvoie la **liste complète** et le navigateur en choisit une (souvent la première, mais avec le `round-robin DNS` l'ordre change à chaque requête). Pour `google.com` vous verrez 4 à 6 adresses. Pour un petit site souvent 1, pour les CDN 2 à 4. C'est **normal** et améliore la résilience : si un serveur tombe, le navigateur essaie le suivant.

Que signifient "NXDOMAIN" et "SERVFAIL" ?

Codes d'erreur DNS : - **NXDOMAIN** = "ce domaine n'existe pas". Soit une faute de frappe (`exempel.fr`), soit un domaine expiré, soit jamais enregistré. - **SERVFAIL** = "le serveur DNS s'est étranglé". Souvent une config DNSSEC cassée (signatures qui ne valident pas), des serveurs NS injoignables, ou un problème de résolveur. Essayez un autre résolveur : si les autres répondent normalement, le souci vient de celui-là. - **Timeout** = le serveur DNS n'a pas du tout répondu en 10 secondes. Souvent transitoire, réessayez. Si vous voyez **NXDOMAIN** sur un résolveur et une réponse valide sur un autre, la config est probablement incohérente ou la propagation est encore en cours.

Qu'est-ce que le TTL et quelles sont les valeurs typiques ?

Le **TTL (Time To Live)** est le nombre de secondes pendant lesquelles un résolveur peut mettre en cache une réponse. Valeurs courantes : - **Enregistrements A/AAAA** : 300 secondes (5 min) à 3600 (1 heure). Un TTL plus court signifie des changements plus rapides mais plus de requêtes. - **Enregistrements MX/TXT** : 3600 secondes (1 heure) à 86400 (24 heures). - **Enregistrements NS** : typiquement 86400 (24h) ou plus, changent rarement. **Stratégie de migration** : 24h avant le changement, abaissez le TTL à **60 secondes**. Une fois la poussière retombée, **remontez-le à 3600+**. Garder le TTL en permanence très bas signifie que votre DNS répond à chaque requête (plus de trafic et de coût) au lieu de laisser les autres mettre en cache.

Pourquoi "dig" dans le terminal donne-t-il des résultats différents de cet outil ?

Parce que `dig` interroge par défaut votre **résolveur local** (votre FAI ou votre box), tandis que cet outil interroge des **résolveurs publics** (Cloudflare 1.1.1.1, Google 8.8.8.8 et compagnie). Si **votre FAI met en cache** une réponse périmée, `dig` la renverra. Pour comparer, utilisez `dig @1.1.1.1 exemple.fr A` et `dig @8.8.8.8 exemple.fr A`. Autre raison : certaines box font tourner un **proxy DNS local** qui intercepte les requêtes (par exemple redirigeant `dns.google` vers le résolveur de la box). Cet outil contourne ça parce que la requête part de notre serveur, pas de votre réseau.

Quelle est la différence entre A et CNAME, et lequel choisir ?

**A** pointe directement vers une **adresse IP** (`93.184.215.14`). **CNAME** pointe vers **un autre nom** (`exemple.fr → cdn.cloudflare.net`), et ce nom à son tour a un enregistrement A. **Règle empirique** : si vous pointez vers votre propre serveur avec une IP fixe, utilisez **A** (plus rapide, une requête au lieu de deux). Si vous pointez vers un service cloud (Cloudflare, AWS CloudFront, Vercel, Netlify), utilisez **CNAME** : ils peuvent changer leurs IPs et votre domaine continue de marcher. **Attention** : le **domaine apex** (`exemple.fr` lui-même) ne peut légalement pas être un CNAME selon le RFC. Cloudflare et AWS Route 53 contournent ça avec "**ALIAS**" ou "**CNAME flattening**".

À quoi sert un enregistrement CAA ?

Un enregistrement **CAA (Certification Authority Authorization)** précise **qui est autorisé à émettre un certificat SSL** pour votre domaine. Sans CAA, n'importe quelle autorité de confiance (Let's Encrypt, DigiCert, Sectigo, GoDaddy) pourrait en théorie émettre un certificat pour votre domaine. Avec CAA fixé à `letsencrypt.org`, **seul Let's Encrypt** émettra : tout autre se voit refuser. Cela protège contre l'**émission frauduleuse de certificat** si le compte d'une autre autorité est compromis. **Exemple** : `0 issue "letsencrypt.org"` = seulement LE. `0 issue ";"` = personne ne peut émettre (pratique pour des sous-domaines non utilisés).

Pourquoi Yandex / AdGuard / ControlD renvoient-ils des résultats différents de Cloudflare ?

Parce que tous les résolveurs ne renvoient pas **la même réponse**, ils font des choses en plus : - **Cloudflare 1.1.1.1, Google 8.8.8.8** : DNS simple, sans filtrage - **Quad9** : bloque les domaines malveillants connus (malware, phishing) - **AdGuard 94.140.14.14** : bloque pubs et trackers, certains domaines reviennent en `0.0.0.0` - **ControlD** : filtre configurable (réglé par l'opérateur) - **NextDNS** : filtre configurable par utilisateur - **OpenDNS** : blocages par catégorie (contenu adulte par exemple) Si vous voyez une **différence** sur un domaine populaire, ce n'est pas un bug DNS, c'est le **filtre du résolveur**. Pour un domaine récent (nouvellement ajouté ou modifié), la différence signifie souvent que le **cache n'a pas encore expiré** sur certains résolveurs.

Stockez-vous mes requêtes ?

Non. **Votre domaine arrive sur notre serveur, on interroge des résolveurs DNS publics, et on vous renvoie la réponse**. On ne stocke pas les requêtes, on ne loggue pas les IPs, on ne construit aucun profil. La seule chose gardée en mémoire est un **compteur de requêtes par IP** (30 par heure, limite de débit) pour protéger le serveur des abus. Le compteur se remet à zéro toutes les heures et ne contient jamais le contenu des requêtes. Pour les enregistrements A/AAAA on utilise en plus l'endpoint public ip-api.com pour récupérer l'ASN/FAI des IPs résolues (seulement l'IP du serveur cible, jamais la vôtre).

Lookup DNS - gratuit | YourDevTools

Consultation DNS : voyez immédiatement où pointe votre domaine

Vous venez de modifier un enregistrement A chez votre registrar et vous attendez que le monde voie le nouveau serveur. Un prestataire vous demande par mail "remplacez votre MX par celui-ci". Un client veut savoir si votre domaine a bien un enregistrement SPF configuré. Toutes ces questions ont une seule réponse : demandez au DNS, l'annuaire téléphonique d'internet.

Cet outil interroge les résolveurs DNS publics (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9, OpenDNS et 4 autres) et vous montre quels enregistrements sont visibles dès maintenant pour votre domaine. Sans installer dig, sans ouvrir un terminal, sans attendre que votre FAI libère une réponse en cache.

Mode simple : une requête rapide vers Cloudflare, chaque enregistrement en moins d'une seconde. Mode propagation : la requête est envoyée à 8 résolveurs en parallèle et vous obtenez une matrice qui indique si votre changement est arrivé partout sur le réseau. Utile lors d'une migration mail, du déplacement d'un serveur ou de l'attente d'une expiration de cache.

Mode d'emploi

Tapez un domaine (sans `https://`, sans chemin) : par exemple `exemple.fr`, `mail.acme.io`, `blog.personne.dev`. Un sous-domaine fonctionne aussi si vous voulez vérifier un service précis.
Choisissez les types d'enregistrement : appuyez sur les pastilles `A`, `MX`, `TXT` pour n'interroger que ce dont vous avez besoin. Appuyez sur `All` pour récupérer tous les types standard d'un coup (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).
Chaque pastille est un sélecteur multiple : un appui pour ajouter, un autre pour retirer. `A` est sélectionné par défaut.
Activez "Vérifier la propagation" (interrupteur en bas) lorsque vous venez de changer un enregistrement et voulez vérifier qu'il est arrivé partout. La requête est répartie entre 8 résolveurs publics.
Cliquez sur Lookup et patientez 1 à 3 secondes. Le résultat est un tableau d'enregistrements : valeur, TTL (durée de mise en cache de la réponse, en secondes ou minutes) et priorité pour les enregistrements MX.
Pour les enregistrements `A` et `AAAA` (IPs serveur) l'outil récupère aussi le PTR (nom inverse) et l'ASN/FAI (propriétaire du réseau, par exemple "AS13335 Cloudflare") : d'un coup d'œil vous savez si le domaine est sur Cloudflare, AWS ou Hetzner.
En mode propagation vous obtenez une matrice à 8 colonnes : une par résolveur, une coche verte quand il voit la nouvelle valeur, un tiret quand il sert encore l'ancienne. Parfait pour suivre une migration en direct.

Quand cet outil est utile

Sept situations typiques où l'outil donne une réponse concrète au lieu d'un "je pense que ça marche" :

Vérifier une migration d'hébergement. Vous avez changé l'enregistrement A de `212.x.x.x` vers `185.y.y.y`. Vous lancez une vérification de propagation : quand les 8 résolveurs renvoient la nouvelle IP, vous pouvez éteindre l'ancien serveur sereinement. Si un ou deux (par exemple Yandex) gardent encore l'ancienne valeur, donnez-leur quelques heures.
Déboguer la délivrabilité mail. Un client vous dit "je ne reçois pas vos mails". Vous vérifiez son enregistrement MX : la priorité 10 pointe vers un hostname avec une faute de frappe. Vous corrigez en 5 minutes.
Vérifier que DKIM/SPF fonctionnent. Vos newsletters atterrissent systématiquement en spam Gmail. Vous interrogez les enregistrements TXT sur `_dmarc.entreprise.fr`, `default._domainkey.entreprise.fr` et l'apex (SPF commence par `v=spf1`). Vous voyez exactement ce qui manque.
Pointer un sous-domaine via CNAME. Un client vous demande de raccorder `boutique.marque.fr` à sa boutique Shopify. Après le changement vous interrogez le CNAME : vous voyez `shops.myshopify.com` et savez que la liaison est bonne.
Auditer un domaine avant de l'acheter. Vous regardez le domaine de quelqu'un d'autre : enregistrements NS (quels serveurs de noms), SOA (qui est admin, dernier incrément de serial), A (est-ce que ça pointe sur quelque chose de vivant). 30 secondes et vous savez si le domaine est à l'abandon ou activement utilisé.
Vérifier qui héberge un concurrent. Vous tapez son domaine, regardez l'enregistrement A, l'outil affiche l'ASN (par exemple "AS16509 Amazon AWS" ou "AS13335 Cloudflare"). Vous savez s'il fait tourner son propre serveur, héberge dans le cloud ou se cache derrière un CDN.
Vérifier que vous avez bien un enregistrement CAA. Les enregistrements CAA indiquent quelles autorités de certification peuvent émettre des certificats SSL pour votre domaine (par exemple seulement Let's Encrypt). Sans CAA, n'importe quelle autorité peut émettre. Un contrôle annuel maintient cette discipline.

Besoin de plus de contexte ? La consultation WHOIS affiche le registrar, le titulaire et la date d'expiration pour le même domaine. L'inspecteur de certificat SSL confirme quel certificat est réellement servi et quand il expire. En pleine migration ? Suivez chaque résolveur en temps réel sur la matrice de propagation DNS.

Questions fréquentes

Le DNS est l'annuaire téléphonique d'internet : il transforme un nom comme `exemple.fr` en une IP serveur (`93.184.215.14`). Mais il existe beaucoup de types de serveurs et de services, donc le DNS gère différents types d'enregistrements. A = adresse IPv4 d'un serveur web. AAAA = adresse IPv6. MX = serveur mail (avec une priorité, l'ordre de préférence). TXT = texte libre, utilisé pour SPF, DKIM, DMARC (authentification email) et la vérification auprès de Google Search Console et services similaires. CNAME = "ce nom est un alias d'un autre nom". NS = quels serveurs DNS font autorité sur le domaine. SOA = métadonnées du domaine (qui administre, intervalles de rafraîchissement). CAA = quelles autorités SSL peuvent émettre des certificats pour ce domaine.

Consultation DNS : voyez immédiatement où pointe votre domaine

Mode d'emploi

Tapez un domaine (sans `https://`, sans chemin) : par exemple `exemple.fr`, `mail.acme.io`, `blog.personne.dev`. Un sous-domaine fonctionne aussi si vous voulez vérifier un service précis.

Choisissez les types d'enregistrement : appuyez sur les pastilles `A`, `MX`, `TXT` pour n'interroger que ce dont vous avez besoin. Appuyez sur `All` pour récupérer tous les types standard d'un coup (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).

Chaque pastille est un sélecteur multiple : un appui pour ajouter, un autre pour retirer. `A` est sélectionné par défaut.

Activez "Vérifier la propagation" (interrupteur en bas) lorsque vous venez de changer un enregistrement et voulez vérifier qu'il est arrivé partout. La requête est répartie entre 8 résolveurs publics.

Cliquez sur Lookup et patientez 1 à 3 secondes. Le résultat est un tableau d'enregistrements : valeur, TTL (durée de mise en cache de la réponse, en secondes ou minutes) et priorité pour les enregistrements MX.

Pour les enregistrements `A` et `AAAA` (IPs serveur) l'outil récupère aussi le PTR (nom inverse) et l'ASN/FAI (propriétaire du réseau, par exemple "AS13335 Cloudflare") : d'un coup d'œil vous savez si le domaine est sur Cloudflare, AWS ou Hetzner.

En mode propagation vous obtenez une matrice à 8 colonnes : une par résolveur, une coche verte quand il voit la nouvelle valeur, un tiret quand il sert encore l'ancienne. Parfait pour suivre une migration en direct.

Quand cet outil est utile

Sept situations typiques où l'outil donne une réponse concrète au lieu d'un "je pense que ça marche" :

Vérifier une migration d'hébergement. Vous avez changé l'enregistrement A de `212.x.x.x` vers `185.y.y.y`. Vous lancez une vérification de propagation : quand les 8 résolveurs renvoient la nouvelle IP, vous pouvez éteindre l'ancien serveur sereinement. Si un ou deux (par exemple Yandex) gardent encore l'ancienne valeur, donnez-leur quelques heures.
Déboguer la délivrabilité mail. Un client vous dit "je ne reçois pas vos mails". Vous vérifiez son enregistrement MX : la priorité 10 pointe vers un hostname avec une faute de frappe. Vous corrigez en 5 minutes.
Vérifier que DKIM/SPF fonctionnent. Vos newsletters atterrissent systématiquement en spam Gmail. Vous interrogez les enregistrements TXT sur `_dmarc.entreprise.fr`, `default._domainkey.entreprise.fr` et l'apex (SPF commence par `v=spf1`). Vous voyez exactement ce qui manque.
Pointer un sous-domaine via CNAME. Un client vous demande de raccorder `boutique.marque.fr` à sa boutique Shopify. Après le changement vous interrogez le CNAME : vous voyez `shops.myshopify.com` et savez que la liaison est bonne.
Auditer un domaine avant de l'acheter. Vous regardez le domaine de quelqu'un d'autre : enregistrements NS (quels serveurs de noms), SOA (qui est admin, dernier incrément de serial), A (est-ce que ça pointe sur quelque chose de vivant). 30 secondes et vous savez si le domaine est à l'abandon ou activement utilisé.
Vérifier qui héberge un concurrent. Vous tapez son domaine, regardez l'enregistrement A, l'outil affiche l'ASN (par exemple "AS16509 Amazon AWS" ou "AS13335 Cloudflare"). Vous savez s'il fait tourner son propre serveur, héberge dans le cloud ou se cache derrière un CDN.
Vérifier que vous avez bien un enregistrement CAA. Les enregistrements CAA indiquent quelles autorités de certification peuvent émettre des certificats SSL pour votre domaine (par exemple seulement Let's Encrypt). Sans CAA, n'importe quelle autorité peut émettre. Un contrôle annuel maintient cette discipline.

Questions fréquentes