Vérifiez la chaîne de confiance DNSSEC de n'importe quel domaine

Outil gratuit

Vérificateur DNSSEC

Testez la chaîne de confiance DNSSEC d'un domaine, zone par zone

Vérificateur et test DNSSEC gratuit. Saisissez un domaine pour voir si sa chaîne de confiance est correctement configurée, du domaine de premier niveau jusqu'au domaine lui-même, avec des diagnostics par zone et des corrections claires. La vérification s'exécute dans votre navigateur.

Saisissez un domaine. La vérification s'exécute dans votre navigateur via DNS-over-HTTPS.

Comment vérifier le DNSSEC d'un domaine

Quatre étapes, d'un nom de domaine à un verdict clair sur sa configuration DNSSEC.

  1. 1

    Saisissez un domaine

    Saisissez n'importe quel domaine dans le formulaire ci-dessus. Les domaines apex comme les sous-domaines fonctionnent. Les noms de domaine internationaux sont convertis en punycode pour vous.

  2. 2

    Lancez la vérification

    L'outil interroge DNS-over-HTTPS depuis votre navigateur et parcourt la chaîne de confiance à partir du domaine de premier niveau. Les résultats apparaissent directement en quelques secondes.

  3. 3

    Lisez le verdict

    La bannière affiche l'un des six états : sécurisé, non signé, partiel, mal configuré, invalide ou erreur. Ouvrez chaque zone pour voir quels contrôles ont réussi, alerté ou échoué.

  4. 4

    Corrigez les avertissements

    Suivez les notes par zone. Un enregistrement DS manquant, une signature expirée ou un algorithme obsolète ont chacun une correction précise chez votre registrar ou votre hébergeur DNS.

Ce qu'une vérification DNSSEC vous apprend

Une vérification DNSSEC est le moyen le plus rapide de confirmer qu'un domaine signé se valide toujours. Utilisez-la pour :

  • Confirmer qu'un domaine fraîchement signé se valide de bout en bout avant de vous y fier.
  • Diagnostiquer une panne SERVFAIL : un verdict invalide accompagné du motif du résolveur pointe directement le maillon rompu.
  • Vérifier qu'un enregistrement DS a bien été ajouté chez le registrar après avoir activé DNSSEC chez votre hébergeur DNS.
  • Repérer une signature RRSIG sur le point d'expirer avant qu'elle ne mette le domaine hors ligne.
  • Détecter un algorithme de signature obsolète (RSASHA1, RSAMD5) que la RFC 8624 recommande d'abandonner.
  • Vérifier le domaine d'un partenaire ou d'un prestataire avant de dépendre de DANE ou de requêtes MX validées par DNSSEC.

Comprendre DNSSEC

Qu'est-ce que DNSSEC ?

Le DNS est l'annuaire d'internet : il transforme un nom comme example.com en adresses auxquelles les ordinateurs se connectent. Le DNS classique n'a aucun moyen de prouver qu'une réponse est authentique ; un attaquant placé entre vous et un serveur DNS peut donc renvoyer une réponse falsifiée et vous envoyer au mauvais endroit. DNSSEC (DNS Security Extensions) corrige cela en signant les enregistrements DNS avec des clés cryptographiques. Un résolveur qui prend en charge DNSSEC contrôle la signature de chaque réponse. Si la signature correspond, la réponse est authentique. Sinon, le résolveur rejette la réponse plutôt que de transmettre un contenu falsifié. DNSSEC protège l'intégrité des réponses DNS. Il ne les masque pas et ne remplace pas SPF, DKIM ou DMARC.

Comment fonctionne la chaîne de confiance

Aucune clé unique ne signe l'internet tout entier. Au lieu de cela, chaque zone se porte garante de celle qui la suit, formant une chaîne. La racine DNS est signée, et sa clé est intégrée à chaque résolveur validant comme ancre de confiance. La racine signe un enregistrement qui désigne la clé de .com. La zone .com signe un enregistrement qui désigne la clé de example.com. La zone example.com signe ses propres enregistrements. Pour valider un nom, un résolveur suit cette chaîne maillon par maillon depuis la racine. Chaque maillon comporte deux parties : un enregistrement DS dans la zone parente, qui donne l'empreinte de la clé de l'enfant, et un enregistrement DNSKEY dans la zone enfant, qui contient la clé elle-même. Quand l'empreinte DS correspond au DNSKEY, le maillon tient. Ce vérificateur parcourt la même chaîne et vous montre chaque maillon.

Signé n'est pas synonyme de sécurisé

Un domaine peut publier des clés DNSSEC et ne pas se valider pour autant. Être signé signifie que la zone possède des enregistrements DNSKEY et signe ses réponses. Être sécurisé signifie que la chaîne est aussi complète : le parent publie un enregistrement DS correspondant et les signatures sont vérifiées, si bien que les résolveurs positionnent le drapeau Authenticated Data. Si l'enregistrement DS chez le parent est absent, les résolveurs traitent la zone comme non signée et les clés ne servent à rien. Si l'enregistrement DS désigne une clé qui n'existe plus, les résolveurs renvoient une erreur et le domaine devient injoignable. C'est pourquoi activer DNSSEC se fait en deux étapes, dans le bon ordre : publiez d'abord les clés chez votre hébergeur DNS, puis ajoutez l'enregistrement DS chez votre registrar. Une fois votre DNS digne de confiance, bouclez la boucle côté email avec une vérification complète DMARC, SPF et BIMI.

Questions fréquentes

Qu'est-ce que DNSSEC ?
DNSSEC (DNS Security Extensions) ajoute des signatures numériques aux enregistrements DNS. Un résolveur validant contrôle ces signatures à l'aide d'une chaîne de confiance qui part de la racine DNS signée et descend zone après zone jusqu'au domaine. Si les signatures correspondent, le résolveur sait que la réponse DNS n'a pas été altérée en transit. DNSSEC protège l'intégrité des réponses DNS ; il ne les chiffre pas et ne remplace pas SPF, DKIM ou DMARC.
Comment vérifier si un domaine utilise DNSSEC ?
Saisissez le domaine dans le vérificateur ci-dessus et lancez l'analyse. L'outil interroge DNS-over-HTTPS depuis votre navigateur, parcourt la chaîne de confiance du domaine de premier niveau jusqu'au domaine, et rend l'un des six verdicts : sécurisé, non signé, partiel, mal configuré, invalide ou erreur. Chaque zone signée reçoit un détail par zone qui montre précisément où la chaîne réussit ou se rompt.
DNSSEC en vaut-il la peine ?
DNSSEC bloque une attaque précise : la falsification ou l'altération des réponses DNS de votre domaine, comme l'empoisonnement de cache. Cette protection couvre aussi les enregistrements DNS dont dépendent d'autres systèmes, notamment les requêtes MX, SPF et MTA-STS, et c'est un prérequis pour DANE. La contrepartie est opérationnelle : une signature défectueuse ou une clé expirée rend votre domaine injoignable pour toute personne derrière un résolveur validant. La plupart des domaines fonctionnent très bien sans DNSSEC. Il est surtout utile pour les domaines à forte valeur, où l'altération du DNS est une menace réelle et où l'opérateur peut gérer soigneusement les rotations de clés.
Que signifie un statut DNSSEC invalide (bogus) ?
Invalide (bogus) signifie que le domaine est signé mais que la chaîne ne se valide pas : une signature est erronée, une clé manque, ou une empreinte DS ne correspond pas au DNSKEY qu'elle désigne. Les résolveurs validants répondent SERVFAIL au lieu d'une réponse, si bien que toute personne utilisant un tel résolveur ne peut plus du tout joindre le domaine. Un résultat invalide est une panne, pas un avertissement. Les causes habituelles : une rotation de clés qui a supprimé une clé trop tôt, une signature expirée, ou DNSSEC désactivé chez l'hébergeur DNS sans retrait de l'enregistrement DS chez le registrar.
DNSSEC améliore-t-il la délivrabilité des emails ?
Pas directement. Les hébergeurs d'emails jugent la délivrabilité sur SPF, DKIM, DMARC, la réputation d'envoi et le contenu, pas sur le fait que votre zone soit signée. DNSSEC aide l'email de façon indirecte, en protégeant l'intégrité des réponses DNS dont dépend l'authentification email : les résolutions DNS de vos include SPF, les clés publiques DKIM et l'hôte de politique MTA-STS. Il est aussi requis pour DANE (RFC 7672), que certains hébergeurs utilisent pour imposer TLS sur le courrier entrant. Configurez d'abord SPF, DKIM et DMARC ; considérez DNSSEC comme un contrôle d'intégrité DNS distinct.
Quelle est la différence entre un domaine signé et un domaine sécurisé ?
Un domaine signé publie des enregistrements DNSKEY et signe ses réponses DNS. Un domaine sécurisé est signé et sa zone parente publie un enregistrement DS correspondant : la chaîne de confiance est complète et les résolveurs validants positionnent le drapeau Authenticated Data. Un domaine peut être signé sans être sécurisé : si l'enregistrement DS chez le parent est absent (partiel) ou ne correspond pas aux clés (invalide), les résolveurs traitent la zone comme non signée ou refusent de répondre. Ce vérificateur distingue les deux cas.
Ce vérificateur DNSSEC est-il gratuit ?
Oui. Le vérificateur DNSSEC est entièrement gratuit et sans inscription. La vérification s'exécute dans votre navigateur via des résolveurs DNS-over-HTTPS publics, si bien qu'aucune information sur votre requête n'est stockée sur nos serveurs.