Le domaine est-il signé et validé ?
DNS et enregistrements
Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNSDélivrabilité des e-mails
Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTPRéseau et web
Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouvertsDomaine
Lookup WHOIS Données d'enregistrement pour domaines, IP et ASNDNSSEC (DNS Security Extensions) signe cryptographiquement les enregistrements DNS afin que les résolveurs puissent vérifier qu'ils n'ont pas été altérés, ce qui protège contre l'empoisonnement de cache et l'usurpation. Il ajoute une chaîne de confiance par-dessus le DNS ordinaire sans changer la signification des enregistrements. IPeek interroge un résolveur DNS-over-HTTPS validant et indique si le domaine est signé et authentifié.
DNSSEC fonctionne en signant chaque zone avec une clé privée et en publiant la clé publique correspondante dans le DNS. Les enregistrements sont signés (RRSIG), les clés sont publiées (DNSKEY), et une empreinte de la clé de la zone (l'enregistrement DS) est placée dans la zone parente. Cela relie votre zone à sa parente, qui se relie à la sienne, et ainsi de suite jusqu'à la racine — une chaîne de confiance continue. Un résolveur validant suit cette chaîne depuis la racine vers le bas, en vérifiant chaque signature, et ne fait confiance qu'aux réponses dont les signatures sont validées.
IPeek indique si le domaine est signé avec DNSSEC et si un résolveur validant l'authentifie. Un résultat authentifié (souvent affiché via le drapeau AD, pour Authenticated Data) signifie que la chaîne de confiance est intacte et que les enregistrements sont vérifiés. Si le domaine n'est pas signé, DNSSEC n'est tout simplement pas activé — chose courante et non une erreur, mais cela signifie que les enregistrements ne sont pas protégés. Un domaine signé qui échoue à la validation est plus grave : il révèle une chaîne rompue, généralement un enregistrement DS manquant ou non concordant chez le registraire.
L'échec le plus fréquent est une chaîne de confiance rompue, où la zone est signée mais où l'enregistrement DS dans la zone parente est manquant, périmé ou ne correspond pas à la clé actuelle. Les résolveurs validants renvoient alors SERVFAIL, ce qui peut rendre le domaine totalement inaccessible aux utilisateurs derrière un résolveur validant. Cela survient généralement lors des rotations de clés ou lorsqu'on active DNSSEC sans téléverser l'enregistrement DS chez le registraire. Corrigez-le en veillant à ce que l'enregistrement DS chez le registraire corresponde à la clé active de votre zone, et ne supprimez jamais les anciennes clés avant que la mise à jour du DS ne se soit propagée.
Un domaine signé avec DNSSEC porte des signatures cryptographiques sur ses enregistrements DNS, permettant aux résolveurs validants de confirmer que les réponses sont authentiques et non modifiées. La signature seule ne suffit toutefois pas : la zone parente doit aussi détenir un enregistrement DS correspondant pour que la chaîne de confiance atteigne le domaine. Un domaine signé et correctement délégué est protégé contre l'usurpation et l'empoisonnement de cache.
Non, un domaine non signé n'est pas une erreur — de nombreux domaines n'utilisent pas DNSSEC. Cela signifie simplement que les enregistrements ne portent aucune protection cryptographique et pourraient, en théorie, être usurpés ou empoisonnés en transit. Activer DNSSEC ajoute cette protection, mais c'est facultatif et cela exige une configuration correcte à la fois chez votre fournisseur DNS et chez votre registraire.
Un enregistrement DS (Delegation Signer) est une empreinte de la clé de signature de votre zone, publiée dans la zone parente chez le registraire. Il relie votre zone signée à la chaîne de confiance située au-dessus d'elle. Si l'enregistrement DS est manquant ou ne correspond pas à votre clé actuelle, les résolveurs validants ne peuvent pas vérifier le domaine et peuvent le rejeter entièrement : garder le DS synchronisé est donc essentiel.
AD signifie Authenticated Data (données authentifiées). Lorsqu'un résolveur validant positionne le drapeau AD, il confirme que les signatures DNSSEC de la réponse ont été vérifiées et que la chaîne de confiance a été validée avec succès. Son absence sur un domaine signé peut indiquer un échec de validation ou que le résolveur n'a pas validé. IPeek utilise un résolveur validant, afin que ce drapeau reflète une authentification réelle.
La cause habituelle est une chaîne de confiance rompue : l'enregistrement DS chez le registraire est manquant, obsolète ou ne correspond pas à la clé active de la zone, souvent après une rotation de clés. Les résolveurs validants renvoient alors SERVFAIL, ce qui peut rendre le domaine inaccessible aux utilisateurs concernés. Aligner l'enregistrement DS du registraire sur la clé de signature actuelle corrige le problème.