Pourquoi la plupart des domaines n'utilisent-ils toujours pas DNSSEC ?

**Trois raisons.** D'abord, les **registrars** le rendent pénible : dans beaucoup de panneaux de contrôle vous devez encore copier manuellement un enregistrement DS entre votre hébergeur DNS et votre registrar, avec les rotations de clé faites à la main. Ensuite, le **risque opérationnel** : si vous configurez mal DNSSEC le domaine casse **uniquement pour les utilisateurs sur résolveurs validants** (environ 30 % globalement), ce qui est le pire type de bug parce qu'il est invisible pour qui a fait le changement. Troisièmement, le **business case est flou** : les utilisateurs finaux ne voient pas DNSSEC, aucun navigateur n'affiche un cadenas pour lui, il ne rentre donc jamais dans la checklist de lancement. L'adoption tourne autour de **5 à 10 % des .com** selon les stats qu'on consulte.

Qu'est-ce que la chaîne de confiance, exactement ?

Une chaîne de **signatures** allant de votre domaine jusqu'à une clé que tout le monde fait confiance. Votre zone signe ses enregistrements avec une **ZSK** (Zone Signing Key). La ZSK elle-même est signée par la **KSK** (Key Signing Key). Le hash de la KSK est publié comme **enregistrement DS** chez la zone parente (`.com`). La ZSK de `.com` signe cet enregistrement DS, la KSK de `.com` est hashée en un enregistrement DS à la **racine**, et la **KSK racine** est l'ancre de confiance globale livrée avec chaque résolveur. Cassez un maillon et toute la chaîne s'effondre pour ce domaine.

KSK vs ZSK : quelle est la différence ?

**ZSK (Zone Signing Key)** signe les vrais enregistrements de votre zone (A, MX, TXT, ...). Elle est tournée souvent (toutes les quelques semaines ou mois) parce qu'elle est très utilisée. **KSK (Key Signing Key)** ne signe que le DNSKEY set. Elle est tournée rarement (annuellement ou moins) parce que chaque rotation demande de mettre à jour l'**enregistrement DS chez le parent**, qui est une danse de TTL sur plusieurs jours. La séparation existe pour que vous puissiez tourner la ZSK bruyante sans toucher au registrar. **Flags 256 = ZSK, 257 = KSK** dans l'enregistrement DNSKEY.

Pourquoi les enregistrements DS chez le parent comptent-ils tant ?

Un enregistrement DS est la **seule chose que la zone parente publie sur vos clés DNSSEC**. C'est un hash de votre KSK, signé par le parent. Quand un résolveur valide votre domaine il parcourt **de haut en bas** : il fait confiance à la racine, le DS de la racine prouve qu'il peut faire confiance à `.com`, le DS de `.com` prouve qu'il peut faire confiance à `exemple.com`. **Pas de DS chez le parent = pas de chaîne = votre DNSKEY est ignoré** même s'il est parfaitement valide. C'est la cause unique la plus fréquente d'un verdict "DNSSEC cassé" : quelqu'un a activé DNSSEC chez l'hébergeur DNS mais n'a jamais collé le DS chez le registrar.

Comment les attaquants exploitent-ils un domaine sans DNSSEC ?

**Deux attaques classiques.** (1) **Cache poisoning** : un attaquant fait la course pour envoyer une réponse forgée à un résolveur avant que la légitime arrive, injectant une fausse IP pour, disons, votre banque. Sans DNSSEC le résolveur n'a aucun moyen de distinguer les réponses. La divulgation de Dan Kaminsky en 2008 a rendu ça pratique à l'échelle d'internet. (2) **Spoofing DNS on-path** : quiconque peut intercepter le trafic DNS (Wi-Fi malveillant, FAI, État) peut substituer sa propre réponse. DNSSEC fait échouer fermées les deux attaques : la signature ne se vérifie pas, le résolveur renvoie SERVFAIL, pas d'IP. L'attaquant peut DoS le domaine mais ne peut pas l'usurper.

La racine et .com sont signés, alors pourquoi si peu de domaines sont protégés ?

Parce que **signer le parent est nécessaire mais pas suffisant**. La racine et `.com` signés signifient seulement qu'ils **peuvent attester de votre enregistrement DS** si vous en publiez un. Si votre domaine lui-même ne publie pas de DNSKEY et un DS correspondant, la chaîne s'arrête à `.com` et vos enregistrements voyagent **sans protection** le dernier hop. Environ 95 % des domaines `.com` sont exactement dans cet état aujourd'hui : l'autoroute jusqu'à votre sortie est signée, mais la bretelle de sortie ne l'est pas.

DNSSEC ralentit-il la résolution DNS ?

**Un peu, pas assez pour compter pour les utilisateurs.** Un résolveur validant fait des requêtes supplémentaires (pour les enregistrements DNSKEY et RRSIG) et fait quelques maths de signature. Sur un cache froid ça ajoute **20 à 80 ms**. Sur un cache chaud, en gros zéro. Les paquets de réponse sont plus gros (les signatures sont volumineuses), ce qui causait historiquement des problèmes avec les vieilles middleboxes qui droppaient le DNS au-dessus de 512 octets, mais les **EDNS0** et le DNS sur TCP / TLS / HTTPS d'aujourd'hui gèrent ça très bien. Les algorithmes modernes comme **ECDSAP256SHA256** et **ED25519** produisent des signatures **5 à 10x plus petites** que RSA2048, ce qui a réglé l'essentiel des plaintes de taille.

RSASHA256 vs ECDSAP256SHA256 vs ED25519 : quel algorithme choisir ?

**ECDSAP256SHA256 (algorithme 13)** est le défaut actuel pour les nouveaux déploiements : petites clés (256 bits), petites signatures, support universel des résolveurs. **ED25519 (algorithme 15)** est encore plus petit et plus rapide, mais une infime minorité de vieux résolveurs retombent encore en insecure pour lui (traitent la zone comme non signée), c'est donc un bon choix seulement si vous n'avez pas besoin de compat legacy. **RSASHA256 (algorithme 8)** domine encore le trafic réel (les clés de zone `.com` l'utilisent), c'est rock-solid mais les signatures sont 5 à 10x plus grosses. Évitez **RSASHA1 (5, 7)** et **RSAMD5 (1)** : ils sont dépréciés et les résolveurs commencent à les rejeter purement et simplement.

Mon validateur dit "Chaîne cassée". Comment dépanner ?

**Cinq choses à vérifier, dans l'ordre.** (1) **Le keyTag DS chez le parent correspond-il à un keyTag KSK chez l'enfant ?** Un mismatch est 80 % des cassures, généralement causé par la rotation de la KSK sans mise à jour du registrar. (2) **Les signatures (RRSIG) sont-elles expirées ?** Les signatures ont une fenêtre de validité, typiquement 7 à 30 jours. Si votre signeur a arrêté de fonctionner, les signatures expirent et la chaîne casse à minuit. (3) **Avez-vous tourné les algorithmes récemment ?** Passer de RSA à ECDSA demande une double signature pendant une fenêtre de TTL. (4) **Vérifiez que le champ algorithme parent dans l'enregistrement DS** correspond à ce avec quoi votre zone signe réellement. (5) Utilisez **dnsviz.net** pour une trace plus profonde une fois que cet outil vous dit quel niveau est cassé.

Validateur DNSSEC - gratuit

Ce que fait cet outil

Cet outil parcourt la chaîne de confiance DNSSEC pour n'importe quel domaine et vous montre, niveau par niveau, s'il est correctement signé. Vous obtenez la racine (.), le TLD (comme `.fr` ou `.com`) et votre domaine, chacun avec ses enregistrements DNSKEY, l'enregistrement DS chez la zone parente, l'algorithme utilisé (RSASHA256, ECDSAP256, ED25519, ...) et le key tag.

La vérification cryptographique réelle est faite par le résolveur validant Cloudflare 1.1.1.1 : on configure le résolveur pour vérifier les signatures et on lit son flag AD (Authenticated Data). Vert = signé et validé, jaune = ce niveau n'utilise simplement pas DNSSEC, rouge = signatures ou enregistrements DS ne correspondent pas et la chaîne est cassée.

Mode d'emploi

Tapez un domaine comme `cloudflare.com` (sans `https://`, sans chemin).
Cliquez sur Valider DNSSEC. On interroge DoH pour DNSKEY à chaque niveau et DS chez le parent.
Lisez la carte de chaîne de haut en bas : racine, puis TLD, puis votre domaine. Chaque carte est codée par couleur.
Vert = signé et authentifié. Jaune = pas de DNSSEC à ce niveau (pas une erreur, juste non protégé). Rouge = chaîne cassée, les clients peuvent refuser le domaine.
Inspectez les tables DS / DNSKEY : les key tags doivent correspondre entre un DNSKEY enfant et un DS parent. L'algorithme et le type de digest indiquent quelle crypto est utilisée.
Essayez les exemples : cloudflare.com, paypal.com, ietf.org sont entièrement signés. example.com est signé mais sa sous-zone ne l'est pas, il atterrit donc en "partiel".

Quand cet outil est utile

Six situations où un validateur de chaîne DNSSEC bat la lecture brute de `dig +trace +dnssec` :

Auditer un domaine que vous venez d'activer DNSSEC pour. Vous avez basculé l'interrupteur chez votre registrar, vous avez collé l'enregistrement DS chez le parent, maintenant vous devez confirmer que les deux côtés correspondent. La visualisation de la chaîne rend un mismatch de key tag évident en quelques secondes.
Déboguer les erreurs "DNSSEC validation failure". Les utilisateurs finaux voient un `SERVFAIL` soudain uniquement sur les résolveurs validants (Cloudflare, Google, Quad9). La carte rouge pointe le niveau cassé et le message explique pourquoi.
Checklist pré-lancement pour banque, gouvernement et tout domaine à forte confiance. Un DNSSEC entièrement signé bloque toute une classe d'attaques (cache poisoning, spoofing DNS on-path). Confirmez avant la mise en ligne.
Comparer deux domaines côte à côte. Lancez `votre-banque.fr` contre un concurrent et voyez qui déploie réellement DNSSEC.
Vérifier une rotation de zone parente. Vous avez tourné la KSK au registre, vous avez soumis un nouveau DS, vous voulez confirmer que la propagation est finie et que le flag AD est revenu à true.
Enseigner DNSSEC. La chaîne à trois niveaux (racine, TLD, SLD) plus les enregistrements par niveau est la façon la plus propre d'expliquer la délégation et la confiance à quelqu'un qui n'a jamais vu ça.

Outils liés : consultation DNS, consultation DNS inverse PTR, vérificateur DNS email, consultation WHOIS, générateur de clés DKIM.

Questions fréquentes

DNSSEC est un ensemble d'extensions qui ajoute des signatures cryptographiques aux réponses DNS. Une requête DNS classique renvoie "exemple.fr est en 1.2.3.4" sans moyen de prouver que ça vient bien du vrai serveur DNS d'exemple.fr. DNSSEC attache une signature à cette réponse, plus une chaîne de confiance remontant jusqu'à la zone racine, de sorte qu'un résolveur validant peut confirmer que l'IP a été publiée par le propriétaire légitime et que personne ne l'a altérée en chemin. C'est une défense contre le cache poisoning et le spoofing DNS on-path, pas contre la prise de contrôle de site ou les identifiants volés.

Ce que fait cet outil

Mode d'emploi

Tapez un domaine comme `cloudflare.com` (sans `https://`, sans chemin).

Cliquez sur Valider DNSSEC. On interroge DoH pour DNSKEY à chaque niveau et DS chez le parent.

Lisez la carte de chaîne de haut en bas : racine, puis TLD, puis votre domaine. Chaque carte est codée par couleur.

Vert = signé et authentifié. Jaune = pas de DNSSEC à ce niveau (pas une erreur, juste non protégé). Rouge = chaîne cassée, les clients peuvent refuser le domaine.

Inspectez les tables DS / DNSKEY : les key tags doivent correspondre entre un DNSKEY enfant et un DS parent. L'algorithme et le type de digest indiquent quelle crypto est utilisée.

Essayez les exemples : cloudflare.com, paypal.com, ietf.org sont entièrement signés. example.com est signé mais sa sous-zone ne l'est pas, il atterrit donc en "partiel".

Quand cet outil est utile

Six situations où un validateur de chaîne DNSSEC bat la lecture brute de `dig +trace +dnssec` :

Auditer un domaine que vous venez d'activer DNSSEC pour. Vous avez basculé l'interrupteur chez votre registrar, vous avez collé l'enregistrement DS chez le parent, maintenant vous devez confirmer que les deux côtés correspondent. La visualisation de la chaîne rend un mismatch de key tag évident en quelques secondes.
Déboguer les erreurs "DNSSEC validation failure". Les utilisateurs finaux voient un `SERVFAIL` soudain uniquement sur les résolveurs validants (Cloudflare, Google, Quad9). La carte rouge pointe le niveau cassé et le message explique pourquoi.
Checklist pré-lancement pour banque, gouvernement et tout domaine à forte confiance. Un DNSSEC entièrement signé bloque toute une classe d'attaques (cache poisoning, spoofing DNS on-path). Confirmez avant la mise en ligne.
Comparer deux domaines côte à côte. Lancez `votre-banque.fr` contre un concurrent et voyez qui déploie réellement DNSSEC.
Vérifier une rotation de zone parente. Vous avez tourné la KSK au registre, vous avez soumis un nouveau DS, vous voulez confirmer que la propagation est finie et que le flag AD est revenu à true.
Enseigner DNSSEC. La chaîne à trois niveaux (racine, TLD, SLD) plus les enregistrements par niveau est la façon la plus propre d'expliquer la délégation et la confiance à quelqu'un qui n'a jamais vu ça.

Outils liés : consultation DNS, consultation DNS inverse PTR, vérificateur DNS email, consultation WHOIS, générateur de clés DKIM.

Questions fréquentes

Validateur DNSSEC

Ce que fait cet outil

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Lookup DNS inverse (PTR)

Vérificateur DNS email

Lookup WHOIS

Générateur paire de clés DKIM

Validateur DNSSEC

Ce que fait cet outil

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Lookup DNS inverse (PTR)

Vérificateur DNS email

Lookup WHOIS

Générateur paire de clés DKIM