Vérificateur DNSSEC gratuit

Vérifiez en un clin d'œil si le protocole DNSSEC est correctement configuré pour n'importe quel domaine. Notre validateur DNSSEC gratuit vérifie les enregistrements DS chez votre registraire, les enregistrements DNSKEY sur votre serveur de noms faisant autorité, la validité de la signature RRSIG, ainsi que la chaîne de confiance complète entre votre domaine et la racine DNS.

Veuillez entrer un nom de domaine valide, sans le préfixe http://.

0+

Des organisations du monde entier

0+

Les entreprises du classement Fortune 100 et les gouvernements

0+

pays desservis

Que vérifie cet outil de vérification DNSSEC ?

Notre outil de vérification DNSSEC effectue six contrôles de validation essentiels sur votre domaine :

1

Enregistrement DS auprès du registraire

Confirme que l'enregistrement du signataire de la délégation existe bien dans votre zone parente (chez votre registraire). Il s'agit du maillon essentiel qui relie votre zone signée à la chaîne de confiance mondiale.

2

Enregistrement DNSKEY dans la zone

Vérifie que l'enregistrement de la clé publique est bien publié sur votre serveur de noms de référence. Une zone comporte généralement deux clés : une clé de signature de zone (ZSK) destinée à un usage quotidien et une clé de signature de clé (KSK) servant à signer la ZSK.

3

Validité de la signature RRSIG

Vérifie que vos enregistrements DNS comportent bien des signatures cryptographiques et que celles-ci ne sont pas périmées. Les RRSIG périmés entraînent immédiatement l'échec de la validation DNSSEC.

4

Correspondance DS-DNSKEY

Vérifie que l'enregistrement DS chez votre registraire fait correctement référence à l'enregistrement DNSKEY de votre zone. Une incohérence (souvent due à un renouvellement incomplet de la clé) entraîne l'échec de la validation.

5

Sécurité des algorithmes

Identifie les algorithmes de signature obsolètes ou peu sûrs. Les algorithmes peu sûrs peuvent compromettre les avantages du protocole DNSSEC en matière de sécurité.

6

Intégrité de la chaîne de confiance

Vérifie que la chaîne complète, depuis la racine DNS jusqu'à votre domaine en passant par le TLD, est intacte. Une rupture de cette chaîne, à n'importe quel niveau, entraîne l'échec de la validation dans son ensemble.

Le vérificateur renvoie l'un des quatre statuts suivants :

Activé

Toutes les vérifications ont été effectuées avec succès sur vos enregistrements.

Partiel

Le DNSKEY est présent, mais l'enregistrement DS est manquant chez votre registraire de domaine.

Mauvaise configuration

L'enregistrement DS existe, mais la clé DNSKEY correspondante est manquante.

Non activé

Aucun enregistrement DS ni DNSKEY n'a pu être trouvé.

Qu'est-ce que DNSSEC ?

Le DNSSEC (Domain Name System Security Extensions) est un ensemble d'extensions cryptographiques du DNS qui permet aux résolveurs de vérifier que les réponses DNS sont authentiques et n'ont pas été altérées pendant leur transit. Le DNSSEC ajoute des signatures numériques aux enregistrements DNS et crée une chaîne de confiance allant de la zone racine du DNS jusqu'aux domaines individuels. Cela permet de se protéger contre les attaques par empoisonnement du cache DNS et par usurpation d'adresse DNS, qui pourraient rediriger les utilisateurs vers des serveurs malveillants.

Le protocole DNSSEC ne crypte pas les requêtes DNS. Cette fonction est assurée par les protocoles DNS-over-HTTPS ou DNS-over-TLS. Il ne protège pas non plus le contenu des e-mails et ne remplace pasSPF. Il sécurise plutôt le processus de résolution DNS dont dépendent ces normes d'authentification des e-mails.

Pour en savoir plus sur le fonctionnement du protocole DNSSEC, consultez notre :

Comprendre la chaîne de confiance

La validation DNSSEC s'effectue de haut en bas, selon une chaîne de confiance hiérarchique :

Racine DNS
TLD (.com, .org, etc.)
Votre domaine

Chaque niveau est signé et authentifié par le niveau supérieur au moyen d'un enregistrement DS. Si cette chaîne est rompue à n'importe quel niveau, même si votre zone est parfaitement configurée, la validation échoue.

Problème le plus courant : l'enregistrement DS n'a pas été transmis à votre registraire. Votre zone est signée (le fichier DNSKEY existe), mais elle n'est pas liée à la zone parente. L'outil de vérification affiche le message « Partiel ».

Pour résoudre ce problème : envoyez votre enregistrement DS (provenant de votre hébergeur DNS) à votre registraire. Ces deux éléments doivent exister pour que la chaîne fonctionne.

Explication des types d'enregistrements DNSSEC

Le protocole DNSSEC utilise quatre types principaux d'enregistrements DNS, que notre outil valide tous.

Enregistrement DNSKEY

Stocke la clé publique utilisée pour vérifier les signatures DNSSEC. Comprend la clé ZSK (qui signe les enregistrements) et la clé KSK (qui signe la clé ZSK).

1
Enregistrement DS (signataire délégué)

Contient un hachage de la clé DNSKEY de la zone parente, reliant ainsi votre domaine à la chaîne de confiance DNSSEC.

2
RRSIG (Signature d'enregistrement de ressource)

Signature cryptographique pour chaque ensemble d'enregistrements DNS. Doit être renouvelée avant son expiration afin de maintenir la validation DNSSEC.

3
Enregistrement NSEC / NSEC3

Prouve que les enregistrements DNS n'existent pas (déni d'existence authentifié). NSEC3 est la variante garantissant la confidentialité. Elle empêche les attaquants de répertorier tous les noms de votre zone.

4

Comment activer le protocole DNSSEC pour votre domaine

L'activation du protocole DNSSEC se déroule en deux étapes. Ces deux étapes doivent être effectuées pour permettre une validation complète :

Étape 1

Activer la signature DNSSEC auprès de votre hébergeur DNS

Connectez-vous à votre fournisseur DNS, activez la signature DNSSEC pour votre domaine, puis copiez l'enregistrement DS généré. Cela permet de créer vos enregistrements DNSKEY et de lancer automatiquement la signature de votre zone DNS.

Étape 2

Envoyez le dossier DS à votre service des inscriptions

Connectez-vous à votre registraire de domaine, ouvrez les paramètres DNSSEC, puis ajoutez l'enregistrement DS généré à l'étape 1. Enregistrez les modifications pour finaliser la chaîne de confiance DNSSEC.

Délai : la propagation DNS prend entre 24 et 48 heures.

Piège courant : de nombreux utilisateurs activent la signature DNSSEC mais oublient de publier l'enregistrement DS, ce qui rend la chaîne de confiance incomplète.

Erreurs courantes liées au protocole DNSSEC et comment les résoudre

Voici les cinq erreurs de configuration DNSSEC les plus courantes et comment y remédier :

Statut : partiel ou mal configuré

Enregistrement DS manquant ou mal configuré

Cause : La clé DNSKEY est présente dans votre zone (votre zone est donc signée), mais l'enregistrement DS n'a pas été transmis à votre registraire, ou bien il est incorrect. La chaîne de confiance est rompue au niveau du registraire.

Solutions recommandées :

  • Connectez-vous à votre registraire de nom de domaine (GoDaddy, Namecheap, etc.)
  • Accédez aux paramètres DNS de votre domaine
  • Recherchez la section « Enregistrements DNSSEC ou DS »
  • Récupérez l'enregistrement DS depuis le panneau de configuration de votre hébergeur DNS
  • Collez la valeur de l'enregistrement DS dans le champ « Enregistrement DS » de votre registraire.
  • Enregistrez les modifications et patientez 24 à 48 heures pour que les modifications DNS soient répercutées.
  • Relancez l'outil de vérification pour vérifier que le statut « Activé » est bien affiché
Statut : Non activé

DNSSEC n'est pas activé chez le registraire ou sur le serveur de noms

Cause : la signature DNSSEC n'est activée nulle part. Il n'existe ni enregistrements DNSKEY ni enregistrements DS.

Solutions recommandées :

  • Connectez-vous à votre panneau de configuration d'hébergement DNS (Cloudflare, Route 53, etc.)
  • Recherchez la section « DNSSEC » ou « Sécurité DNS »
  • Activer la signature DNSSEC pour votre domaine
  • Copiez l'enregistrement DS ou les données DNSKEY fournis
  • Connectez-vous à votre registraire et ajoutez l'enregistrement DS (étapes ci-dessus)
  • Attendez 24 à 48 heures, puis relancez l'outil de vérification
Statut : Mauvaise configuration

Signature RRSIG périmée

Cause : les signatures de vos enregistrements DNS ont dépassé leur date d'expiration. Cela est généralement dû à l'échec du renouvellement automatique des clés ou à une panne chez votre hébergeur DNS.

Solutions recommandées :

  • Connectez-vous à votre panneau de contrôle d'hébergement DNS
  • Recherchez la section DNSSEC et lancez une action « Resigner la zone » ou « Actualiser les signatures ».
  • Si cette action n'existe pas, désactivez puis réactivez la signature DNSSEC
  • Patientez quelques minutes le temps que les signatures soient régénérées
  • Relancer l'outil de vérification
Statut : Mauvaise configuration

Incohérence DS-DNSKEY

Cause : l'enregistrement DS chez votre fournisseur d'enregistrement ne correspond plus à la clé DNSKEY de votre zone. Cela se produit généralement après un renouvellement de clé, lorsque l'enregistrement DS n'a pas été mis à jour.

Solutions recommandées :

  • Connectez-vous à votre panneau de contrôle d'hébergement DNS et récupérez l'enregistrement DS actuel (il est possible qu'il ait changé lors du basculement)
  • Connectez-vous à votre service d'inscription
  • Mettez à jour l'enregistrement DS avec la nouvelle valeur fournie par votre fournisseur DNS
  • Attendez 24 à 48 heures, puis relancez l'outil de vérification
Statut : Partiel

DNSSEC activé sur le serveur de noms, mais pas chez le registraire

Cause : votre zone est signée (les enregistrements DNSKEY sont présents), mais l'enregistrement DS n'est pas présent chez votre registraire. Il s'agit de l'erreur de configuration DNSSEC la plus courante.

Solutions recommandées :

  • Connectez-vous à votre registraire de nom de domaine (GoDaddy, Namecheap, etc.)
  • Accédez aux paramètres DNS de votre domaine
  • Recherchez la section « Enregistrements DNSSEC ou DS »
  • Récupérez l'enregistrement DS depuis le panneau de configuration de votre hébergeur DNS
  • Envoyez-le à votre service des inscriptions

DNSSEC et sécurité des e-mails

Le protocole DNSSEC et les normes d'authentification des e-mails (DMARC, DKIM, SPF) constituent des niveaux de sécurité complémentaires mais distincts.

Comment ils se connectent

Le protocole DNSSEC sécurise les requêtes DNS, tandis que SPF, DKIM et DMARC sécurisent la messagerie électronique. Il garantit que les enregistrements DNS utilisés pour l'authentification des e-mails sont authentiques et n'ont pas été altérés.

Pourquoi le protocole DNSSEC est-il si important ?

Sans DNSSEC, les pirates peuvent falsifier les réponses DNS et remplacer votre clé DKIM par une fausse. Le protocole DNSSEC empêche cela en garantissant que les serveurs de messagerie récupèrent la clé DKIM authentique à partir de votre DNS.

Ce que le protocole DNSSEC ne fait pas

Le protocole DNSSEC ne remplace ni le DMARC, ni le DKIM, ni SPF. Ces trois protocoles restent indispensables à l'authentification des e-mails. Le DNSSEC ne fait que renforcer la sécurité de l'infrastructure DNS sur laquelle ils s'appuient.

Vérifiez si l'authentification des e-mails est activée pour votre nom de domaine

Avez-vous vérifié votre enregistrement DMARC ?

Vérifiez immédiatement si votre enregistrement DMARC est actif, valide et exempt d'erreurs de syntaxe grâce à notre outil de recherche gratuit.

Vérificateur DMARC

Si p = none ? Passer à l'application de la règle.

Le service DMARC hébergé de PowerDMARC vous accompagne en toute sécurité, de la surveillance à l'application stricte de la règle « p=reject », tout en vous offrant une visibilité en temps réel.

DMARC hébergé

Vous souhaitez bénéficier d'un suivi continu ?

PowerDMARC analyse automatiquement les rapports agrégés et vous alerte dès l'apparition de nouveaux expéditeurs ou en cas de problèmes d'authentification.

Commencer gratuitement

Ce que nos clients et partenaires disent de nous

Steve Smith
Steve Smith

Responsable régional d'Auckland, Advantage

« Notre activité repose sur la confiance, non seulement entre nous et nos clients, mais aussi avec nos partenaires. L'excellente collaboration que nous entretenons avec PowerDMARC nous permet d'offrir des services exceptionnels à nos clients. »

Foire aux questions

Qu'est-ce que le DNSSEC et comment fonctionne-t-il ?
Le protocole DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS et établit une chaîne de confiance allant de la racine du DNS jusqu'aux domaines individuels. Lorsqu'un résolveur interroge un domaine signé par DNSSEC, il vérifie les signatures à chaque niveau de la hiérarchie afin de s'assurer que la réponse est authentique et n'a pas été modifiée. Consultez notre guide complet sur le DNSSEC pour en savoir plus sur son fonctionnement.
Comment puis-je vérifier si le protocole DNSSEC fonctionne ?
Saisissez votre nom de domaine dans l'outil de vérification ci-dessus, puis cliquez sur « Vérifier ». L'outil valide les enregistrements DS auprès du registraire, les enregistrements DNSKEY sur votre serveur de noms, ainsi que l'ensemble de la chaîne de confiance, et affiche l'un des statuts suivants : « Activé », « Partiel », « Mal configuré » ou « Non activé ». Vous pouvez également lancer dig DS yourdomain.com @8.8.8.8 à partir de la ligne de commande pour interroger manuellement l'enregistrement DS.
Le protocole DNSSEC est-il toujours d'actualité ?
Oui. L'empoisonnement du cache DNS reste un vecteur d'attaque actif, et le protocole DNSSEC constitue la seule défense au niveau protocolaire contre ce type d'attaque. Il s'agit également d'une condition préalable à la mise en œuvre du protocole DANE (DNS-based Authentication of Named Entities), qui permet de vérifier les certificats indépendamment des autorités de certification. De nombreux gouvernements, organismes de régulation et cadres de conformité imposent désormais l'utilisation du protocole DNSSEC pour les domaines critiques.
Qu'est-ce qui est validé avec le protocole DNSSEC ?
Le protocole DNSSEC permet de vérifier l'authenticité et l'intégrité des réponses DNS, en garantissant que les adresses IP, les enregistrements MX et les autres données DNS renvoyées pour un domaine proviennent bien d'un serveur faisant autorité et n'ont pas été modifiées en cours de transmission. Il ne vérifie pas le contenu des sites web ni celui des e-mails, et ne crypte pas les requêtes DNS.

Prêt à prévenir les abus de marque, les escroqueries et à avoir une vision complète de votre canal de courrier électronique ?