• Valeur d'expiration SOA hors de la plage recommandée : Ce que cela signifie et comment y remédier

Valeur d'expiration SOA hors de la plage recommandée : Ce que cela signifie et comment y remédier

par

Dernière mise à jour :
6 Temps de lecture : 2 min
Valeur d'expiration SOA hors de la plage recommandée : Ce que cela signifie et comment y remédier

Points clés à retenir

  • La valeur Valeur d'expiration SOA hors de la plage recommandée apparaît lorsque le délai d'expiration de votre zone DNS n'est pas défini dans les limites standard.
  • La valeur d'expiration SOA définit la durée pendant laquelle les serveurs DNS secondaires conservent leurs données mises en cache si le serveur principal devient inaccessible.
  • La durée recommandée est de 1 209 600-2 419 200 secondes (2-4 semaines) selon la RFC 1912.
  • Une valeur trop faible peut entraîner des abandons prématurés du DNS ; une valeur trop élevée peut propager des enregistrements obsolètes pendant des mois ou des années.
  • Les causes les plus fréquentes sont les modèles d'hébergement par défaut, les fautes de frappe ou les configurations obsolètes.
  • Corrigez le problème en modifiant votre enregistrement SOA dans le panneau de contrôle de votre fournisseur DNS et en définissant le champ expire dans la plage correcte.

L'avertissement "SOA expire value out of recommended range" signifie que l'enregistrement Start of Authority (SOA) de votre domaine a un délai d'expiration fixé en dehors des meilleures pratiques DNS. Bien qu'il ne s'agisse pas d'un problème critique, c'est un signe que votre domaine pourrait être vulnérable à des temps d'arrêt ou à des mises à jour retardées, ce qui peut faire boule de neige et déboucher sur quelque chose de plus grave. 

Comprendre le fonctionnement de la valeur d'expiration et l'ajuster à la fourchette recommandée de 2 à 4 semaines permet à votre domaine d'être sain et conforme aux normes DNS.

Vérifier le registre des avis d'appel d'offres de votre domaine

Qu'est-ce qu'un enregistrement SOA ?

Un enregistrement SOA est un type d'enregistrement DNS qui comprend des informations importantes, telles que l'adresse électronique de l'administrateur, la période de rafraîchissement du serveur et l'historique des mises à jour du domaine. Lorsque vous le configurez dans votre DNS respectif, il vous aide à vous aligner sur les normes de l'Internet Engineering Task Force. Vous avez besoin d'enregistrements DNS SOA pour des transferts de zone efficaces lorsque vous les envoyez d'un serveur primaire à un serveur secondaire.

Un enregistrement DNS SOA typique comprend des détails importants, tels que :

  • Numéro de série : Un compteur de versions qui augmente à chaque modification.
  • Serveur de noms principal : Le serveur principal responsable.
  • Adresse électronique du responsable : L'adresse électronique de l'administrateur.
  • Rafraîchissement : Compte à rebours pour que les serveurs secondaires demandent des mises à jour.
  • Retry : Durée d'attente du serveur secondaire après l'échec d'une vérification.
  • Expire : Cette valeur indique la limite supérieure, en secondes, pendant laquelle un serveur secondaire continuera à considérer ses données de zone comme faisant autorité après son dernier contact réussi avec le serveur primaire.
  • TTL minimum : Traditionnellement, ce champ définit le TTL par défaut pour la mise en cache négative (durée pendant laquelle les réponses "aucun domaine de ce type" sont stockées). Les logiciels DNS modernes peuvent l'utiliser comme TTL par défaut pour les enregistrements qui n'en spécifient pas.

Comprendre la valeur d'expiration

La valeur valeur d'expiration est une minuterie, mesurée en secondes, dont l'objectif est singulièrement important : elle indique à un serveur DNS secondaire combien de temps il doit continuer à faire confiance à ses données locales lorsque le serveur primaire est devenu silencieux.

Il s'agit d'un compte à rebours final pour un transfert de zone. Si un serveur secondaire ne peut pas atteindre le serveur principal pour obtenir des mises à jour, ce compte à rebours commence à s'enclencher. Il ne supprime pas les données de la zone, mais cesse de les servir jusqu'à ce que le contact avec le serveur principal soit rétabli.

Voici comment cela se passe :

Le compte à rebours commence

Lorsqu'un serveur secondaire ne parvient pas à se connecter avec le serveur primaire, il s'appuie sur sa dernière copie connue de vos enregistrements DNS. La valeur expire indique la durée de vie de cette copie.

Données jugées non fiables

Si le délai expire avant que le serveur secondaire ne puisse rétablir le contact, quelque chose d'important se produit. Le serveur considère que ses fichiers de zone sont « expirés » et que ses données sont trop anciennes pour être fiables.

Les questions restent sans réponse

À ce stade, le serveur secondaire lève les bras au ciel. Il cesse de fournir des réponses faisant autorité pour la zone et renvoie SERVFAIL à la place. Il s'agit d'une mesure de protection visant à empêcher la diffusion d'informations anciennes et incorrectes sur le web.

Le point faible

Bien qu'il ne s'agisse pas d'une norme imposée, RFC 1912 et les meilleures pratiques DNS courantes recommandent un délai d'expiration de 2 à 4 semaines. Cette fenêtre donne à l'administrateur suffisamment de temps pour résoudre un problème de serveur primaire sans que les serveurs secondaires n'abandonnent prématurément la zone.

Qui est donc à l'origine de cette alerte ? La cause première est presque toujours un chiffre qui se situe en dehors de cette fenêtre de deux à quatre semaines.

Délai de péremption trop court

Un délai d'expiration trop court signifie qu'un problème de réseau temporaire peut amener vos serveurs secondaires à abandonner votre domaine, ce qui entraîne des pannes inutiles.

Délai de péremption trop long 

Une valeur excessivement longue permet à des enregistrements périmés de persister pendant des mois si votre serveur principal subit une défaillance catastrophique.

Configurations automatisées imprécises 

Certains panneaux d'hébergement utilisent des modèles par défaut avec des valeurs douteuses.

Fautes de frappe simples

Un chiffre mal placé lors d'une configuration manuelle peut facilement faire sortir la valeur de ses limites.

Les sages de l'internet (dans ce cas, RFC 1912) suggèrent un équilibre. Vous avez besoin de suffisamment de temps pour résoudre un problème majeur sur le serveur, mais pas trop pour que de mauvaises données polluent l'écosystème.

Pensez-y de la manière suivante :

  • 2419200 secondes (28 jours). Juste ce qu'il faut.
  • 86400 secondes (1 jour). Déclenche un avertissement. Trop risqué.
  • 99999999 secondes (3+ ans). Déclenche un avertissement. Beaucoup trop décontracté

Un choix solide et sûr est 1209600 secondes, ce qui équivaut à 14 jours.

Valeur d'expirationLa duréeRésultat
864001 jourTrop court - risqué
120960014 jours✅ Recommandé
241920028 jours✅ Recommandé
999999993+ ansTrop long - dépassé

Il est temps de se retrousser les manches. La solution est rapide.

1. Ouvrir le panneau de configuration DNS

Connectez-vous à votre registraire de domaine ou à votre fournisseur de DNS (PowerDNS, Cloudflare, cPanel, etc.). Gardez à l'esprit que votre capacité à voir et à modifier l'enregistrement SOA dépendra de l'interface et des autorisations fournies par votre fournisseur spécifique.

2. Trouver l'enregistrement SOA

Cet enregistrement se trouve souvent dans sa propre section, séparée de vos enregistrements A ou CNAME. Recherchez la zone "Paramètres de la zone" ou "DNS avancé".

3. Régler la valeur d'expiration sur 1209600-2419200 

Localisez le champ "Expire". Remplacez le numéro actuel par un numéro situé dans la plage recommandée, par exemple 1209600.

4. Sauvegarder et propager

Validez vos changements. Votre fournisseur DNS devrait automatiquement augmenter le numéro de série. Si ce n'est pas le cas, augmentez le numéro de série manuellement pour vous assurer que les secondaires détectent le changement. Cela signale au reste de l'internet qu'il existe une nouvelle version améliorée de votre enregistrement.

Conseil de pro : Lorsque vous définissez vos valeurs SOA, veillez toujours à ce que vos valeurs Expiration soit plus grande que la valeur Rafraîchir et Réessayer combinées (Expire > Refresh + Retry). Ce contrôle logique empêche la zone d'expirer avant que le serveur secondaire n'ait eu la possibilité de terminer son cycle de tentatives.

Exemple : Avant et après

Le disque du trublion 

REFRESH : 86400

RETRY : 7200

EXPIRE: 604800  ; <– The problem (7 days)

Une valeur EXPIRE courte est un problème car un délai de 7 jours est souvent trop court pour résoudre les problèmes majeurs du serveur. Lorsque le délai EXPIRE est écoulé, les serveurs secondaires cessent de répondre aux requêtes pour votre domaine. Cela signifie que votre site web et votre courrier électronique peuvent être mis hors ligne pour de nombreux utilisateurs. Une valeur courte fournit également un filet de sécurité faible qui peut se rompre au moment où vous en avez le plus besoin. 

Le bilan de santé 

REFRESH : 86400

RETRY : 7200

EXPIRE: 1209600 ; <– Corrected (14 days)

Petit conseil : Lorsque vous enregistrez, votre numéro de série devrait également mettre à jour à une valeur plus élevée. Le numéro de série est un simple numéro de version pour votre zone DNS. Il est comparable au numéro de version d'une mise à jour logicielle (par exemple, v1.0, v1.1, v1.2). Chaque fois que vous apportez une modification à vos enregistrements DNS (quelle qu'elle soit), vous devez augmenter le numéro de série.

L'importance d'une bonne configuration SOA

Un enregistrement SOA bien réglé est plus qu'une simple case cochée dans un rapport de diagnostic. Il est utile :

  • Créer de la stabilité: Votre domaine se comporte de manière prévisible, même si l'un de ses serveurs principaux est dans une mauvaise passe.
  • Renforcer la fiabilité: Vous empêchez les serveurs secondaires d'abandonner prématurément votre domaine en raison d'un problème temporaire.
  • Montrer les bonnes pratiques: Une configuration DNS propre établit une base de confiance et montre que vous respectez les règles de l'internet.

Vous pouvez utiliser l'outil de vérification de la SOA de PowerDMARC, dédié et gratuit. outil de vérification SOA dédié et gratuit pour vérifier votre enregistrement DNS SOA.

Il suffit de saisir un domaine pertinent (par exemple, PowerDMARC.com), et la page suivante affichera l'enregistrement 'A'. Sélectionnez "SOA" pour vérifier les enregistrements. Cela ne prend que quelques secondes, mais fournit des résultats précis sur lesquels vous pouvez compter. Il vous indiquera les problèmes de votre enregistrement afin que vous puissiez les résoudre dès que possible. La procédure exacte est illustrée ci-dessous.

image3

image2

Le mot de la fin

L'avertissement "SOA Expire Value Out of Recommended Range" n'est pas une catastrophe ; il s'agit plutôt d'un mécanisme de correction et de réorientation dans votre parcours numérique. Prenez le temps d'ajuster la valeur et vous aurez un domaine plus sain et plus robuste.

La correction de la valeur d'expiration de votre SOA ne prend que quelques minutes, mais peut vous épargner des heures de dépannage par la suite. Lancez dès maintenant une analyse gratuite de l'état de santé de votre domaine avec PowerDMARC analyseur de domaine de PowerDMARC de PowerDMARC pour que vos configurations DNS restent conformes et exemptes d'erreurs.

Foire aux questions

1. L'avertissement "SOA expire value out of range" est-il sérieux ? 

Ce n'est pas assez grave pour faire tomber votre site, mais il s'agit d'une meilleure pratique DNS à suivre pour garantir la fiabilité de votre domaine en cas de panne du serveur principal.

2. La modification de mon enregistrement SOA entraînera-t-elle la fermeture de mon site web ? 

Non. Il s'agit d'un changement sûr et routinier qui n'entraînera pas de temps d'arrêt.

Si vous l'ignorez, votre domaine peut fonctionner correctement pendant un certain temps, mais si votre serveur DNS principal tombe en panne trop longtemps, les sauvegardes peuvent cesser de desservir votre zone, ce qui entraîne des temps d'arrêt ou des problèmes de courrier électronique.