Pourquoi le DNS met-il si longtemps à se propager ?

Trois raisons s'empilent : le **TTL** de l'ancien enregistrement (souvent 3600 secondes = 1 heure, parfois 86400 = 24 heures), le **délai entre votre registrar et les serveurs autoritaires** (quelques secondes à quelques minutes), et le **negative caching** (quand un résolveur a obtenu "pas d'enregistrement" pour un nom, il garde cette "absence" en mémoire jusqu'à une heure aussi). Par-dessus, certains résolveurs prolongent les TTL au-delà de la valeur officielle (notamment les DNS d'opérateurs mobiles). Le pire cas combiné est le résolveur le plus lent, c'est pourquoi la propagation complète est souvent annoncée comme **24 à 48 heures**.

Qu'est-ce que le TTL et comment contrôle-t-il la vitesse de propagation ?

Le **TTL (Time To Live)** est un nombre, en secondes, attaché à chaque enregistrement DNS. Il dit aux résolveurs "vous pouvez mettre cette réponse en cache pendant au plus N secondes". Après ça, le résolveur doit redemander au serveur autoritaire. Un TTL bas (60 secondes) signifie une propagation rapide mais plus de requêtes vers votre DNS autoritaire. Un TTL haut (86400 = 24h) signifie un hébergement bon marché mais lent à changer. Valeurs par défaut typiques : **A/AAAA = 300 à 3600**, **MX/TXT = 3600 à 86400**, **NS = 86400 ou plus**. La matrice vous montre l'effet de propagation ; le TTL contrôle la vitesse de diffusion.

Quel TTL régler avant un changement planifié ?

Abaissez-le à **60 à 300 secondes** au moins **24 heures avant** le changement. L'ancien TTL (disons 3600) dicte combien de temps la réponse précédente continue à vivre dans les caches, vous devez donc attendre un **cycle d'ancien TTL** pour que le TTL bas commence à être respecté. Ensuite faites le changement, attendez la propagation (rapide maintenant que le TTL est court), et **remontez le TTL** à 3600 ou plus une fois que tout est stable. Les TTL durablement bas fonctionnent mais coûtent plus de requêtes et ralentissent les premiers chargements de page quand rien n'est en cache.

Pourquoi certains résolveurs cachent plus longtemps que ce que dit le TTL ?

Plusieurs raisons. Les **DNS d'opérateurs mobiles** prolongent souvent les TTL pour économiser la data mobile et réduire le coût backend. Les **proxys d'entreprise** ont parfois leurs propres caches DNS qui ignorent le TTL. Les **navigateurs** gardent leur propre cache DNS in-process (Chrome : environ 60 secondes, Firefox configurable). Les **résolveurs OS** (client DNS Windows, systemd-resolved) cachent aussi, en plus du cache upstream. Donc même si chaque résolveur public dans la matrice affiche déjà la nouvelle valeur, un utilisateur individuel peut encore voir l'ancienne jusqu'à ce que son **navigateur plus OS plus box plus FAI** aient tous expiré leurs entrées.

Les DNS FAI sont-ils plus lents à propager que les DNS publics comme 1.1.1.1 ?

Souvent **oui**. Les grands résolveurs publics (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9) respectent le TTL avec précision et sont en anycast, l'invalidation de cache est donc globale en quelques minutes. Les **DNS FAI** sont souvent optimisés pour **un faible volume de requêtes**, ce qui veut dire qu'ils prolongent les TTL, parfois silencieusement. C'est pourquoi un utilisateur sur un FAI résidentiel peut encore voir l'ancienne IP une heure après votre changement alors que la matrice affiche 12/12 cohérent. Dire à ces utilisateurs de passer à **1.1.1.1 ou 8.8.8.8** est le contournement le plus rapide.

Quand puis-je m'attendre à une propagation complète ?

Pour la plupart des changements avec un TTL de 3600 secondes, **la plupart des résolveurs mettent à jour en 1 à 4 heures**. Le classique "24 à 48 heures" couvre la longue traîne : quelques DNS d'opérateurs, caches d'entreprise et systèmes hérités. Si vous avez abaissé le TTL à 60 secondes la veille du changement, **80 à 90 % du monde** voit la nouvelle valeur en **5 minutes** après la bascule. Si vous avez oublié d'abaisser le TTL, l'attente est d'un cycle de TTL complet depuis le changement, plus la longue traîne.

Comment contourner le cache pour confirmer la réponse autoritaire ?

Deux options. En local, lancez `dig +trace exemple.fr A` dans un terminal : cette requête parcourt l'arbre DNS depuis la racine jusqu'à vos serveurs autoritaires, en **ignorant tout cache** au passage. Alternativement, pointez dig directement sur votre serveur autoritaire : `dig @ns1.votre-registrar.com exemple.fr A`. La matrice de cet outil fait déjà quelque chose d'équivalent à grande échelle en interrogeant 12 résolveurs différents ; si même Cloudflare et Google affichent la nouvelle réponse, vous pouvez être sûr que le côté autoritaire est correct.

Quand la propagation ne se complète-t-elle jamais totalement ?

Quelques cas légitimes. **DNS split-horizon** : le même nom se résout différemment pour les clients internes vs externes, intentionnellement (les VPN d'entreprise font ça). **Curiosités anycast** : certains noms CDN renvoient des IPs différentes selon l'emplacement du résolveur, et c'est voulu (geo-routing), pas un bug de propagation. **Résolveurs filtrants** : AdGuard bloque les pubs, Quad9 bloque le malware, donc un domaine flaggé renvoie `0.0.0.0` ou `NXDOMAIN` sur ces résolveurs quoi que dise votre DNS autoritaire. Si la matrice affiche un 11/12 stable avec un résolveur spécifique toujours dissident, c'est probablement du filtrage, pas de la propagation.

Que faire quand la propagation est bloquée ?

Suivez cette checklist. (1) Confirmez que le changement est en ligne sur vos **serveurs autoritaires** : `dig @ns1.votre-registrar.com nom TYPE`. Si même eux affichent l'ancienne valeur, le changement n'a jamais atteint la couche autoritaire, corrigez au registrar. (2) Confirmez que les grands résolveurs publics (Cloudflare, Google) ont la nouvelle valeur. Si oui, le reste n'est que du cache. (3) Si un seul résolveur est bloqué depuis des heures malgré l'expiration du TTL, **flushez son cache** : Cloudflare propose une UI publique de flush sur `cloudflare-dns.com/purge-cache`, Google sur `developers.google.com/speed/public-dns/cache`. (4) Vérifiez que le **TTL** de l'ancien enregistrement était bien bas quand vous avez fait le changement ; s'il était à 86400, vous attendez jusqu'à 24 heures peu importe.

Matrice de propagation DNS - gratuit

Matrice de propagation DNS : mon changement a-t-il atteint le monde ?

Vous venez d'éditer un enregistrement A chez votre registrar. Vous restez là à rafraîchir le navigateur, en vous demandant si le nouveau serveur est en ligne. Ou vous avez bumpé un MX avant une migration mail et avez besoin de savoir combien de résolveurs servent encore l'ancienne réponse. Cet outil est fait pour ce moment précis.

Il lance une requête, sur un enregistrement, contre 12 résolveurs DNS publics répartis entre opérateurs et régions (Cloudflare, Google, Quad9, OpenDNS, AdGuard, Yandex, Comodo, DNS.SB, Mullvad, LibreDNS, NextDNS, PowerDNS). Vous obtenez un tableau : chaque résolveur, ce qu'il renvoie actuellement, et un repère couleur indiquant s'il s'aligne sur la réponse majoritaire. Une ligne de résumé en bas vous dit en clair : "Cohérent : 12/12 sont d'accord sur `1.2.3.4`" ou "En cours : 4/12 servent encore l'ancienne valeur".

Activez le rafraîchissement auto et la page répète la requête toutes les 30 secondes pour vous permettre de garder l'onglet ouvert pendant une migration et regarder les résolveurs à la traîne rattraper.

Mode d'emploi

Tapez le domaine que vous venez de modifier (sans `https://`, sans chemin) : `exemple.fr`, `mail.acme.io`, `cdn.marque.dev`. Un sous-domaine fonctionne aussi si vous n'avez changé qu'un enregistrement précis.
Choisissez le type d'enregistrement sur la barre segmentée : `A` pour IPv4, `AAAA` pour IPv6, `CNAME` pour les alias, `MX` pour le mail, `TXT` pour SPF/DKIM/DMARC et les jetons de vérification, `NS` pour les serveurs de noms autoritaires.
Cliquez sur Vérifier la propagation. En 2 à 4 secondes vous obtenez un tableau avec les 12 résolveurs et une carte récapitulative colorée en bas.
Lignes vertes = ce résolveur s'aligne sur la majorité. Lignes jaunes = il renvoie une réponse différente (probablement encore en cache). Lignes rouges = le résolveur a échoué (timeout, SERVFAIL, NXDOMAIN).
Activez l'auto-refresh et la même requête se répète toutes les 30 secondes. Utile quand vous voulez regarder le monde rattraper après un changement sans matraquer le bouton.
La carte récap en bas affiche la réponse majoritaire plus un compteur "d'accord / total". "12/12" signifie propagation complète. Tout chiffre inférieur signifie qu'au moins un résolveur sert encore une valeur ancienne ou filtrée.
Si un seul résolveur est systématiquement en désaccord alors que les 11 autres sont unanimes, le problème vient de ce résolveur, pas de votre DNS : il filtre peut-être le domaine (AdGuard bloque les pubs, Quad9 bloque le malware) ou met en cache plus agressivement.

Quand cet outil est utile

Sept moments typiques où "ma propagation DNS est-elle terminée ?" compte plus que toute autre question :

Juste après un déplacement de serveur. Vous avez changé l'enregistrement A de `212.x.x.x` vers `185.y.y.y`. Vous lancez la matrice et rafraîchissez chaque minute. Quand 12/12 affichent la nouvelle IP, vous pouvez retirer l'ancienne machine sereinement.
Migration MX avant une bascule mail. Vous passez d'un prestataire mail à un autre et devez être sûr que la délivrabilité ne se partage pas entre les deux. La matrice MX montre quand chaque résolveur distribue le nouveau serveur.
Pointage CNAME pour un sous-domaine SaaS. Vous avez raccordé `boutique.marque.fr` à Shopify, le tableau de bord dit "pas encore pointé". Vérifiez la matrice CNAME : si 12/12 affichent la bonne cible, c'est juste le dashboard SaaS qui est lent à rafraîchir.
Déploiement DKIM. Vous avez ajouté un enregistrement TXT à `default._domainkey.marque.fr`. Vous interrogez TXT : quand tous les résolveurs renvoient la nouvelle chaîne de clé, vous pouvez activer la signature DKIM sans bounces de rejet.
Vérification TTL préalable. Avant un gros changement, interrogez l'enregistrement actuel pour confirmer ce qui est en cache. Si le TTL a été abaissé à 60 secondes hier, vous savez que le rollout sera rapide. S'il est encore à 3600, prévoyez au moins une heure pour l'expiration du cache.
Déboguer "marche pour certains users, pas pour d'autres". Un collègue n'arrive pas à atteindre le nouveau site. Vous lui demandez quel DNS il utilise, vous vérifiez ce résolveur dans la matrice : s'il affiche encore l'ancienne IP, la réponse c'est le cache, pas votre code.
Distinguer filtrage et propagation. Quad9 renvoie `NXDOMAIN` pour un de vos domaines alors que tout le monde le résout. Ça, c'est du filtrage (liste malware), pas un retard de propagation. La matrice rend la distinction évidente d'un coup d'œil.

Outils liés : consultation DNS (chaque type d'enregistrement, détail complet), consultation DNS inverse / PTR (IP vers hostname), consultation WHOIS (qui possède le domaine), validateur DNSSEC (chaîne de confiance cryptographique).

Questions fréquentes

La propagation DNS est le temps nécessaire pour qu'un changement fait sur votre DNS autoritaire devienne visible partout sur internet. Il n'y a pas de push global ni de sync : chaque résolveur (Cloudflare, Google, votre FAI) met en cache la réponse précédente pendant la durée de son TTL. Tant que cette entrée de cache n'a pas expiré, le résolveur continue de servir l'ancienne valeur. La propagation est donc en réalité une course à l'expiration de cache, pas une étape de copie littérale. La matrice de cet outil montre 12 résolveurs à la fois pour que vous voyiez qui a déjà remarqué le changement et qui est encore sur la réponse périmée.

Matrice de propagation DNS : mon changement a-t-il atteint le monde ?

Mode d'emploi

Tapez le domaine que vous venez de modifier (sans `https://`, sans chemin) : `exemple.fr`, `mail.acme.io`, `cdn.marque.dev`. Un sous-domaine fonctionne aussi si vous n'avez changé qu'un enregistrement précis.

Choisissez le type d'enregistrement sur la barre segmentée : `A` pour IPv4, `AAAA` pour IPv6, `CNAME` pour les alias, `MX` pour le mail, `TXT` pour SPF/DKIM/DMARC et les jetons de vérification, `NS` pour les serveurs de noms autoritaires.

Cliquez sur Vérifier la propagation. En 2 à 4 secondes vous obtenez un tableau avec les 12 résolveurs et une carte récapitulative colorée en bas.

Lignes vertes = ce résolveur s'aligne sur la majorité. Lignes jaunes = il renvoie une réponse différente (probablement encore en cache). Lignes rouges = le résolveur a échoué (timeout, SERVFAIL, NXDOMAIN).

Activez l'auto-refresh et la même requête se répète toutes les 30 secondes. Utile quand vous voulez regarder le monde rattraper après un changement sans matraquer le bouton.

La carte récap en bas affiche la réponse majoritaire plus un compteur "d'accord / total". "12/12" signifie propagation complète. Tout chiffre inférieur signifie qu'au moins un résolveur sert encore une valeur ancienne ou filtrée.

Si un seul résolveur est systématiquement en désaccord alors que les 11 autres sont unanimes, le problème vient de ce résolveur, pas de votre DNS : il filtre peut-être le domaine (AdGuard bloque les pubs, Quad9 bloque le malware) ou met en cache plus agressivement.

Quand cet outil est utile

Sept moments typiques où "ma propagation DNS est-elle terminée ?" compte plus que toute autre question :

Juste après un déplacement de serveur. Vous avez changé l'enregistrement A de `212.x.x.x` vers `185.y.y.y`. Vous lancez la matrice et rafraîchissez chaque minute. Quand 12/12 affichent la nouvelle IP, vous pouvez retirer l'ancienne machine sereinement.
Migration MX avant une bascule mail. Vous passez d'un prestataire mail à un autre et devez être sûr que la délivrabilité ne se partage pas entre les deux. La matrice MX montre quand chaque résolveur distribue le nouveau serveur.
Pointage CNAME pour un sous-domaine SaaS. Vous avez raccordé `boutique.marque.fr` à Shopify, le tableau de bord dit "pas encore pointé". Vérifiez la matrice CNAME : si 12/12 affichent la bonne cible, c'est juste le dashboard SaaS qui est lent à rafraîchir.
Déploiement DKIM. Vous avez ajouté un enregistrement TXT à `default._domainkey.marque.fr`. Vous interrogez TXT : quand tous les résolveurs renvoient la nouvelle chaîne de clé, vous pouvez activer la signature DKIM sans bounces de rejet.
Vérification TTL préalable. Avant un gros changement, interrogez l'enregistrement actuel pour confirmer ce qui est en cache. Si le TTL a été abaissé à 60 secondes hier, vous savez que le rollout sera rapide. S'il est encore à 3600, prévoyez au moins une heure pour l'expiration du cache.
Déboguer "marche pour certains users, pas pour d'autres". Un collègue n'arrive pas à atteindre le nouveau site. Vous lui demandez quel DNS il utilise, vous vérifiez ce résolveur dans la matrice : s'il affiche encore l'ancienne IP, la réponse c'est le cache, pas votre code.
Distinguer filtrage et propagation. Quad9 renvoie `NXDOMAIN` pour un de vos domaines alors que tout le monde le résout. Ça, c'est du filtrage (liste malware), pas un retard de propagation. La matrice rend la distinction évidente d'un coup d'œil.

Questions fréquentes

Matrice de propagation DNS

Matrice de propagation DNS : mon changement a-t-il atteint le monde ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Lookup DNS inverse (PTR)

Lookup WHOIS

Validateur DNSSEC

Matrice de propagation DNS

Matrice de propagation DNS : mon changement a-t-il atteint le monde ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Lookup DNS inverse (PTR)

Lookup WHOIS

Validateur DNSSEC