Le format du numéro de série SOA n'est pas valide : causes et solutions
par
Dernière mise à jour : 6 Temps de lecture : 2 min
Points clés : Résolution de l'erreur de séquence SOA
- Problème: l'erreur « Le format du numéro de série SOA n'est pas valide » se produit lorsque le champ « serial » de votre enregistrement SOA (Start of Authority) ne contient pas un entier non signé de 32 bits valide (compris entre 0 et 4 294 967 295).
- Format standard: utilisez le format AAAAMMJJnn (par exemple, 2026040701). Ce format à 10 chiffres est la norme dans le secteur en matière de lisibilité et de compatibilité.
- Cause courante: la cause la plus fréquente est l'utilisation d'un numéro à 11 chiffres (par exemple, 20260407001), qui dépasse la valeur maximale autorisée pour un entier de 32 bits.
- Le risque: même si la résolution DNS continue de fonctionner, un numéro de série invalide empêche les serveurs DNS secondaires de se synchroniser avec le serveur principal, ce qui entraîne des enregistrements obsolètes et un risque d'indisponibilité.
- Solution: mettez à jour votre zone DNS en indiquant un numéro de série à 10 chiffres supérieur à votre numéro actuel.
Si vous avez récemment effectué un audit DNS et reçu l'avertissement «Le format du numéro de série SOA n'est pas valide », cela signifie qu'il y a une erreur de configuration dans votre enregistrement SOA (Start of Authority). Cet avertissement s'affiche lorsque le numéro de série de votre zone DNS n'est pas conforme aux normes requises par les serveurs DNS et les outils de diagnostic.
En clair : le numéro de série correspond au compteur de version de votre zone DNS. S'il ne s'agit pas d'un entier non signé de 32 bits valide compris entre 0 et 4 294 967 295, votre infrastructure DNS, et plus particulièrement les serveurs secondaires, ne saura pas comment traiter les mises à jour.
Cette erreur apparaît généralement lorsque vous utilisez des outils de recherche d'enregistrements DNS, en cas d'échec de transfert de zone ou dans les rapports de validation DNS fournis par les fournisseurs.
Qu'est-ce qu'un numéro de série SOA ?
Un numéro de série SOA est un numéro de version attribué à un fichier de zone DNS qui indique aux autres serveurs DNS si les enregistrements DNS du domaine ont été mis à jour.
Ce champ spécifique de l'enregistrement SOA sert de mécanisme de contrôle des versions. Chaque fois que vous modifiez un enregistrement DNS (tel qu'un enregistrement A, MX ou TXT), le numéro de série doit être incrémenté. Cette modification signale aux serveurs DNS secondaires que la zone principale a été mise à jour et les incite à récupérer une nouvelle copie via un transfert de zone.
En tant qu'entier non signé sur 32 bits, la plage technique de ce nombre s'étend de 0 à 4 294 967 295. Bien qu'il soit techniquement possible d'utiliser n'importe quel nombre de cette plage, deux formats sont couramment utilisés :
| Format | Exemple | Description |
|---|---|---|
| En fonction de la date (recommandé) | 2024031501 | AAAAMMJJnn : année, mois, jour, plus un compteur à deux chiffres. |
| Entier simple | 42 | Un simple numéro croissant. C'est valable, mais plus difficile à suivre manuellement. |
Le format basé sur la date est la norme dans le secteur, car il permet aux administrateurs de voir d'un seul coup d'œil à quelle date la zone a été modifiée pour la dernière fois.
Que signifie « Le format du numéro de série SOA n'est pas valide » ?
L'erreur « Format du numéro de série SOA non valide » indique que votre numéro de série SOA n'a pas passé les contrôles de validation. Bien que cela ne provoque généralement pas de panne immédiate de votre site web, cela déclenche une « défaillance silencieuse ». Les serveurs de noms secondaires s'appuient sur ce numéro pour savoir quand effectuer une mise à jour. Si le format n'est pas valide, ils cessent de se synchroniser avec le serveur principal. Cela crée une situation de « split-brain » : certains utilisateurs voient vos nouvelles mises à jour, tandis que d'autres restent bloqués avec d'anciens enregistrements « périmés », selon le serveur auquel ils accèdent.
Quelles sont les causes d'un numéro de série SOA non valide ?
1. Dépassement de la limite des entiers 32 bits
La cause la plus fréquente est un nombre trop grand. La valeur maximale est 4 294 967 295.
- L'erreur: utiliser un format de date à 11 chiffres, tel que 20240315001. Ce nombre étant supérieur à 4,2 milliards, il n'est mathématiquement pas valide pour ce champ.
2. Caractères non numériques
Le champ de série SOA doit être un nombre entier pur. L'ajout de points, de tirets ou de lettres entraînera immédiatement une erreur de format invalide.
- Exemples non valides: 15/03/2024, v1.0 ou 15/03/2024.
3. Définir la valeur sur zéro
Bien que cela soit techniquement autorisé par les premières RFC, de nombreux outils modernes de recherche d'enregistrements SOA signalent la valeur « 0 » comme non valide, car elle indique souvent une zone non initialisée ou mal configurée.
4. Absence d'incrémentation après les modifications
La propagation DNS repose sur le « calcul des numéros de série ». Les serveurs secondaires (esclaves) vérifient régulièrement l'enregistrement SOA du serveur principal ; si le numéro de série n'est pas supérieur à celui qu'ils détiennent actuellement, ils ne téléchargent pas la mise à jour.
- L'erreur: oublier de mettre à jour le numéro de série ou le diminuer par inadvertance.
- Résultat : les serveurs secondaires restent « désynchronisés » et fournissent des données obsolètes. Certains outils signalent cela comme un problème de format ou de séquence lorsqu’ils détectent que la séquence n’a pas évolué comme prévu.
5. Logique erronée liée à la date
L'utilisation du format JJMMAAAA à la place de AAAAMMJJ peut poser des problèmes. Par exemple, le nombre 3112202401 est valide aujourd'hui, mais dans quelques années, un nombre basé sur une date commençant par 31 pourrait dépasser la limite de 4,2 milliards.
Quel est le format correct du numéro de série SOA ?
Le moyen le plus sûr d'éviter les erreurs est d'utiliser le format AAAAMMJJnn. Il est clair, facile à lire et vous permet de rester largement en dessous de la limite des 32 bits.
- AAAA: l'année en 4 chiffres (par exemple, 2026)
- MM: Le mois à deux chiffres (01–12)
- DD: Le jour à deux chiffres (01–31)
- nn: Un compteur de révision à deux chiffres (00–99) permettant plusieurs mises à jour au cours d'une même journée.
Structure de l'enregistrement SOA
<domain> <TTL> IN SOA <primary-nameserver> <admin-email> (
<serial-number>
<refresh>
<retry>
<expire>
<minimum-TTL>
Exemple d'enregistrement SOA
example.com. 3600 IN SOA ns1.example.com. admin.example.com. (
2026040701
3600
900
1209600
300
)
Cas pratique : l'erreur « débordement »
Imaginons qu'un administrateur système travaillant dans une entreprise technologique en pleine expansion mette à jour ses enregistrements DNS plusieurs fois par jour. Il décide d'utiliser un horodatage de haute précision, tel que 202604071230 (année-mois-jour-heure-minute).
- Résultat: Le nombre 20 260 407 1230 comporte 12 chiffres.
- L'erreur: le logiciel du serveur DNS rejette la mise à jour car la valeur dépasse 4 294 967 295. Les serveurs secondaires continuent de fournir l'ancienne adresse IP, ce qui peut entraîner une indisponibilité du site pour la moitié des utilisateurs, même si la « correction » a été enregistrée sur le serveur principal.
Comment résoudre l'erreur « Le format du numéro de série SOA n'est pas valide »
Étape 1 : Consultez votre dossier actuel
Utilisez un outil pour voir ce qui est actuellement publié. Vous pouvez le faire manuellement en exécutant cette commande dans votre terminal :
dig SOA votredomaine.com
Ou, pour vous faciliter la tâche, utilisez l'outil de recherche d'enregistrements SOA en ligne de PowerDMARC pour obtenir un aperçu instantané et complet de votre enregistrement SOA.
Étape 2 : Identifier l'infraction en question
Vérifiez si votre numéro de série comporte plus de 10 chiffres, s'il contient des signes de ponctuation ou si la date d'expiration de la SOA est hors limites, car ces problèmes vont souvent de pair.
Étape 3 : Saisir un numéro de série valide
Calculez le numéro du jour. Si nous sommes le 7 avril 2026, votre nouveau numéro de série devrait être 2026040701. Important: assurez-vous que ce nouveau numéro soit numériquement supérieur au numéro actuel (même s'il n'est pas valide).
Étape 4 : Mise à jour
Connectez-vous à votre fournisseur de DNS (Cloudflare, AWS Route 53, GoDaddy). Modifiez le champ et enregistrez. Une fois l'enregistrement effectué, relancez votre outil de recherche pour vérifier que le nouveau format à 10 chiffres est bien actif.
Étape 5 : Vérifier
Prévoyez jusqu'à 48 heures pour que les serveurs de noms secondaires se synchronisent via le transfert de zone.
Comment éviter les erreurs liées au numéro de série SOA à l'avenir ?
Une fois correctement configurés, les enregistrements DNS devraient rester stables. Voici comment faire en sorte qu'ils le restent :
- Respectez la norme: utilisez toujours le format AAAAMMJJnn. Ce n'est pas pour rien qu'il s'agit de la référence dans le secteur.
- Utilisez l'incrémentation automatique si elle est disponible: la plupart des fournisseurs gérés, tels que Cloudflare et Route 53, incrémentent automatiquement le numéro de série ; activez cette option si votre fournisseur la prend en charge.
- Vérification après modification: chaque fois que vous migrez des serveurs ou changez de fournisseur DNS, effectuez une vérification rapide à l'aide d'un outil de vérification DNS pour vous assurer que vos numéros de série n'ont pas été altérés lors du transfert.
Comment conserver un format de fiche SOA valide
La correction d'un numéro de série SOA non valide est une étape cruciale pour garantir la portée mondiale et la cohérence de votre domaine. En respectant la norme YYYYMMDDnn, vous éliminez le risque de dépassement de capacité sur 32 bits et fournissez une piste d'audit claire pour vos modifications DNS.
Si les mises à jour manuelles sont courantes dans les environnements BIND (Berkeley Internet Name Domain) personnalisés, la plupart des fournisseurs de DNS cloud modernes gèrent automatiquement cette logique de révision. Toutefois, effectuer une vérification régulière permet de s'assurer que vos configurations, qu'elles soient manuelles ou automatisées, restent dans une plage opérationnelle optimale, ce qui contribue à maintenir une parfaite synchronisation entre vos serveurs de noms principal et secondaire.
Ne laissez pas des erreurs de configuration cachées compromettre la fiabilité de votre domaine. Inscrivez-vous à PowerDMARC dès aujourd'hui pour bénéficier d'une visibilité totale sur l'état de votre DNS, automatiser la sécurité de votre domaine et garantir que vos serveurs secondaires restent parfaitement synchronisés.
Foire aux questions
Un numéro de série SOA invalide perturbe-t-il le fonctionnement du DNS ?
Cela ne se produit pas immédiatement pour tout le monde. Cela rompt avant tout la synchronisation entre vos serveurs de noms principal et secondaire. À terme, cela conduit les serveurs secondaires à fournir des données « obsolètes » ou périmées.
Puis-je utiliser un simple chiffre comme « 1 » ?
Oui, mais ce n'est pas recommandé pour une gestion manuelle. Si vous utilisez « 1, 2, 3… », vous ne pouvez plus voir d'un seul coup d'œil quand la dernière mise à jour a eu lieu.
Pourquoi la limite est-elle fixée à 4 294 967 295 ?
Il s'agit de la valeur maximale pouvant être stockée dans un espace binaire non signé de 32 bits, qui correspond à la norme architecturale pour les champs DNS définie dans la demande de commentaires (RFC) 1035.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
