Outils de diagnostic réseau

Vérification DNSSEC

Le domaine est-il signé et validé ?

esc
Votre IP 8.8.8.8 ou google.com

DNS et enregistrements

Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNS

Délivrabilité des e-mails

Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTP

Réseau et web

Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouverts

Domaine

Lookup WHOIS Données d'enregistrement pour domaines, IP et ASN

Qu'est-ce que DNSSEC ?

DNSSEC (DNS Security Extensions) signe cryptographiquement les enregistrements DNS afin que les résolveurs puissent vérifier qu'ils n'ont pas été altérés, ce qui protège contre l'empoisonnement de cache et l'usurpation. Il ajoute une chaîne de confiance par-dessus le DNS ordinaire sans changer la signification des enregistrements. IPeek interroge un résolveur DNS-over-HTTPS validant et indique si le domaine est signé et authentifié.

Comment DNSSEC construit une chaîne de confiance

DNSSEC fonctionne en signant chaque zone avec une clé privée et en publiant la clé publique correspondante dans le DNS. Les enregistrements sont signés (RRSIG), les clés sont publiées (DNSKEY), et une empreinte de la clé de la zone (l'enregistrement DS) est placée dans la zone parente. Cela relie votre zone à sa parente, qui se relie à la sienne, et ainsi de suite jusqu'à la racine — une chaîne de confiance continue. Un résolveur validant suit cette chaîne depuis la racine vers le bas, en vérifiant chaque signature, et ne fait confiance qu'aux réponses dont les signatures sont validées.

Comment lire les résultats de votre vérification DNSSEC

IPeek indique si le domaine est signé avec DNSSEC et si un résolveur validant l'authentifie. Un résultat authentifié (souvent affiché via le drapeau AD, pour Authenticated Data) signifie que la chaîne de confiance est intacte et que les enregistrements sont vérifiés. Si le domaine n'est pas signé, DNSSEC n'est tout simplement pas activé — chose courante et non une erreur, mais cela signifie que les enregistrements ne sont pas protégés. Un domaine signé qui échoue à la validation est plus grave : il révèle une chaîne rompue, généralement un enregistrement DS manquant ou non concordant chez le registraire.

Problèmes DNSSEC courants et comment les résoudre

L'échec le plus fréquent est une chaîne de confiance rompue, où la zone est signée mais où l'enregistrement DS dans la zone parente est manquant, périmé ou ne correspond pas à la clé actuelle. Les résolveurs validants renvoient alors SERVFAIL, ce qui peut rendre le domaine totalement inaccessible aux utilisateurs derrière un résolveur validant. Cela survient généralement lors des rotations de clés ou lorsqu'on active DNSSEC sans téléverser l'enregistrement DS chez le registraire. Corrigez-le en veillant à ce que l'enregistrement DS chez le registraire corresponde à la clé active de votre zone, et ne supprimez jamais les anciennes clés avant que la mise à jour du DS ne se soit propagée.

Questions fréquentes

Que signifie qu'un domaine est signé avec DNSSEC ?

Un domaine signé avec DNSSEC porte des signatures cryptographiques sur ses enregistrements DNS, permettant aux résolveurs validants de confirmer que les réponses sont authentiques et non modifiées. La signature seule ne suffit toutefois pas : la zone parente doit aussi détenir un enregistrement DS correspondant pour que la chaîne de confiance atteigne le domaine. Un domaine signé et correctement délégué est protégé contre l'usurpation et l'empoisonnement de cache.

Est-ce un problème si un domaine n'est pas signé avec DNSSEC ?

Non, un domaine non signé n'est pas une erreur — de nombreux domaines n'utilisent pas DNSSEC. Cela signifie simplement que les enregistrements ne portent aucune protection cryptographique et pourraient, en théorie, être usurpés ou empoisonnés en transit. Activer DNSSEC ajoute cette protection, mais c'est facultatif et cela exige une configuration correcte à la fois chez votre fournisseur DNS et chez votre registraire.

Qu'est-ce qu'un enregistrement DS et pourquoi est-il important ?

Un enregistrement DS (Delegation Signer) est une empreinte de la clé de signature de votre zone, publiée dans la zone parente chez le registraire. Il relie votre zone signée à la chaîne de confiance située au-dessus d'elle. Si l'enregistrement DS est manquant ou ne correspond pas à votre clé actuelle, les résolveurs validants ne peuvent pas vérifier le domaine et peuvent le rejeter entièrement : garder le DS synchronisé est donc essentiel.

Que signifie le drapeau AD dans un résultat DNSSEC ?

AD signifie Authenticated Data (données authentifiées). Lorsqu'un résolveur validant positionne le drapeau AD, il confirme que les signatures DNSSEC de la réponse ont été vérifiées et que la chaîne de confiance a été validée avec succès. Son absence sur un domaine signé peut indiquer un échec de validation ou que le résolveur n'a pas validé. IPeek utilise un résolveur validant, afin que ce drapeau reflète une authentification réelle.

Pourquoi un domaine signé avec DNSSEC échouerait-il à la validation ?

La cause habituelle est une chaîne de confiance rompue : l'enregistrement DS chez le registraire est manquant, obsolète ou ne correspond pas à la clé active de la zone, souvent après une rotation de clés. Les résolveurs validants renvoient alors SERVFAIL, ce qui peut rendre le domaine inaccessible aux utilisateurs concernés. Aligner l'enregistrement DS du registraire sur la clé de signature actuelle corrige le problème.

Outils connexes

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어