Outil gratuit
Vérificateur DNSSEC
Testez la chaîne de confiance DNSSEC d'un domaine, zone par zone
Vérificateur et test DNSSEC gratuit. Saisissez un domaine pour voir si sa chaîne de confiance est correctement configurée, du domaine de premier niveau jusqu'au domaine lui-même, avec des diagnostics par zone et des corrections claires. La vérification s'exécute dans votre navigateur.
Analyse DNSSEC
Avertissements
Chaîne de confiance
Chaque ligne correspond à une zone de la délégation, du domaine de premier niveau jusqu'au domaine que vous avez saisi. Ouvrez une zone pour voir le détail de ses contrôles et ses clés.
Comment vérifier le DNSSEC d'un domaine
Quatre étapes, d'un nom de domaine à un verdict clair sur sa configuration DNSSEC.
-
1
Saisissez un domaine
Saisissez n'importe quel domaine dans le formulaire ci-dessus. Les domaines apex comme les sous-domaines fonctionnent. Les noms de domaine internationaux sont convertis en punycode pour vous.
-
2
Lancez la vérification
L'outil interroge DNS-over-HTTPS depuis votre navigateur et parcourt la chaîne de confiance à partir du domaine de premier niveau. Les résultats apparaissent directement en quelques secondes.
-
3
Lisez le verdict
La bannière affiche l'un des six états : sécurisé, non signé, partiel, mal configuré, invalide ou erreur. Ouvrez chaque zone pour voir quels contrôles ont réussi, alerté ou échoué.
-
4
Corrigez les avertissements
Suivez les notes par zone. Un enregistrement DS manquant, une signature expirée ou un algorithme obsolète ont chacun une correction précise chez votre registrar ou votre hébergeur DNS.
Ce qu'une vérification DNSSEC vous apprend
Une vérification DNSSEC est le moyen le plus rapide de confirmer qu'un domaine signé se valide toujours. Utilisez-la pour :
- Confirmer qu'un domaine fraîchement signé se valide de bout en bout avant de vous y fier.
- Diagnostiquer une panne SERVFAIL : un verdict invalide accompagné du motif du résolveur pointe directement le maillon rompu.
- Vérifier qu'un enregistrement DS a bien été ajouté chez le registrar après avoir activé DNSSEC chez votre hébergeur DNS.
- Repérer une signature RRSIG sur le point d'expirer avant qu'elle ne mette le domaine hors ligne.
- Détecter un algorithme de signature obsolète (RSASHA1, RSAMD5) que la RFC 8624 recommande d'abandonner.
- Vérifier le domaine d'un partenaire ou d'un prestataire avant de dépendre de DANE ou de requêtes MX validées par DNSSEC.
Comprendre DNSSEC
Qu'est-ce que DNSSEC ?
Le DNS est l'annuaire d'internet : il transforme un nom comme example.com en adresses auxquelles les ordinateurs se connectent. Le DNS classique n'a aucun moyen de prouver qu'une réponse est authentique ; un attaquant placé entre vous et un serveur DNS peut donc renvoyer une réponse falsifiée et vous envoyer au mauvais endroit. DNSSEC (DNS Security Extensions) corrige cela en signant les enregistrements DNS avec des clés cryptographiques. Un résolveur qui prend en charge DNSSEC contrôle la signature de chaque réponse. Si la signature correspond, la réponse est authentique. Sinon, le résolveur rejette la réponse plutôt que de transmettre un contenu falsifié. DNSSEC protège l'intégrité des réponses DNS. Il ne les masque pas et ne remplace pas SPF, DKIM ou DMARC.
Comment fonctionne la chaîne de confiance
Aucune clé unique ne signe l'internet tout entier. Au lieu de cela, chaque zone se porte garante de celle qui la suit, formant une chaîne. La racine DNS est signée, et sa clé est intégrée à chaque résolveur validant comme ancre de confiance. La racine signe un enregistrement qui désigne la clé de .com. La zone .com signe un enregistrement qui désigne la clé de example.com. La zone example.com signe ses propres enregistrements. Pour valider un nom, un résolveur suit cette chaîne maillon par maillon depuis la racine. Chaque maillon comporte deux parties : un enregistrement DS dans la zone parente, qui donne l'empreinte de la clé de l'enfant, et un enregistrement DNSKEY dans la zone enfant, qui contient la clé elle-même. Quand l'empreinte DS correspond au DNSKEY, le maillon tient. Ce vérificateur parcourt la même chaîne et vous montre chaque maillon.
Signé n'est pas synonyme de sécurisé
Un domaine peut publier des clés DNSSEC et ne pas se valider pour autant. Être signé signifie que la zone possède des enregistrements DNSKEY et signe ses réponses. Être sécurisé signifie que la chaîne est aussi complète : le parent publie un enregistrement DS correspondant et les signatures sont vérifiées, si bien que les résolveurs positionnent le drapeau Authenticated Data. Si l'enregistrement DS chez le parent est absent, les résolveurs traitent la zone comme non signée et les clés ne servent à rien. Si l'enregistrement DS désigne une clé qui n'existe plus, les résolveurs renvoient une erreur et le domaine devient injoignable. C'est pourquoi activer DNSSEC se fait en deux étapes, dans le bon ordre : publiez d'abord les clés chez votre hébergeur DNS, puis ajoutez l'enregistrement DS chez votre registrar. Une fois votre DNS digne de confiance, bouclez la boucle côté email avec une vérification complète DMARC, SPF et BIMI.
Questions fréquentes
- Qu'est-ce que DNSSEC ?
- DNSSEC (DNS Security Extensions) ajoute des signatures numériques aux enregistrements DNS. Un résolveur validant contrôle ces signatures à l'aide d'une chaîne de confiance qui part de la racine DNS signée et descend zone après zone jusqu'au domaine. Si les signatures correspondent, le résolveur sait que la réponse DNS n'a pas été altérée en transit. DNSSEC protège l'intégrité des réponses DNS ; il ne les chiffre pas et ne remplace pas SPF, DKIM ou DMARC.
- Comment vérifier si un domaine utilise DNSSEC ?
- Saisissez le domaine dans le vérificateur ci-dessus et lancez l'analyse. L'outil interroge DNS-over-HTTPS depuis votre navigateur, parcourt la chaîne de confiance du domaine de premier niveau jusqu'au domaine, et rend l'un des six verdicts : sécurisé, non signé, partiel, mal configuré, invalide ou erreur. Chaque zone signée reçoit un détail par zone qui montre précisément où la chaîne réussit ou se rompt.
- DNSSEC en vaut-il la peine ?
- DNSSEC bloque une attaque précise : la falsification ou l'altération des réponses DNS de votre domaine, comme l'empoisonnement de cache. Cette protection couvre aussi les enregistrements DNS dont dépendent d'autres systèmes, notamment les requêtes MX, SPF et MTA-STS, et c'est un prérequis pour DANE. La contrepartie est opérationnelle : une signature défectueuse ou une clé expirée rend votre domaine injoignable pour toute personne derrière un résolveur validant. La plupart des domaines fonctionnent très bien sans DNSSEC. Il est surtout utile pour les domaines à forte valeur, où l'altération du DNS est une menace réelle et où l'opérateur peut gérer soigneusement les rotations de clés.
- Que signifie un statut DNSSEC invalide (bogus) ?
- Invalide (bogus) signifie que le domaine est signé mais que la chaîne ne se valide pas : une signature est erronée, une clé manque, ou une empreinte DS ne correspond pas au DNSKEY qu'elle désigne. Les résolveurs validants répondent SERVFAIL au lieu d'une réponse, si bien que toute personne utilisant un tel résolveur ne peut plus du tout joindre le domaine. Un résultat invalide est une panne, pas un avertissement. Les causes habituelles : une rotation de clés qui a supprimé une clé trop tôt, une signature expirée, ou DNSSEC désactivé chez l'hébergeur DNS sans retrait de l'enregistrement DS chez le registrar.
- DNSSEC améliore-t-il la délivrabilité des emails ?
- Pas directement. Les hébergeurs d'emails jugent la délivrabilité sur SPF, DKIM, DMARC, la réputation d'envoi et le contenu, pas sur le fait que votre zone soit signée. DNSSEC aide l'email de façon indirecte, en protégeant l'intégrité des réponses DNS dont dépend l'authentification email : les résolutions DNS de vos include SPF, les clés publiques DKIM et l'hôte de politique MTA-STS. Il est aussi requis pour DANE (RFC 7672), que certains hébergeurs utilisent pour imposer TLS sur le courrier entrant. Configurez d'abord SPF, DKIM et DMARC ; considérez DNSSEC comme un contrôle d'intégrité DNS distinct.
- Quelle est la différence entre un domaine signé et un domaine sécurisé ?
- Un domaine signé publie des enregistrements DNSKEY et signe ses réponses DNS. Un domaine sécurisé est signé et sa zone parente publie un enregistrement DS correspondant : la chaîne de confiance est complète et les résolveurs validants positionnent le drapeau Authenticated Data. Un domaine peut être signé sans être sécurisé : si l'enregistrement DS chez le parent est absent (partiel) ou ne correspond pas aux clés (invalide), les résolveurs traitent la zone comme non signée ou refusent de répondre. Ce vérificateur distingue les deux cas.
- Ce vérificateur DNSSEC est-il gratuit ?
- Oui. Le vérificateur DNSSEC est entièrement gratuit et sans inscription. La vérification s'exécute dans votre navigateur via des résolveurs DNS-over-HTTPS publics, si bien qu'aucune information sur votre requête n'est stockée sur nos serveurs.
Outils associés
Vérificateur DMARC
Vérifiez le DMARC, le SPF et le DKIM d'un domaine en quelques secondes.
Générateur DMARC
Créez un enregistrement DMARC valide à partir de quelques choix simples.
Générateur SPF
Créez et validez un enregistrement SPF pour vos expéditeurs.
Générateur BIMI
Générez l'enregistrement BIMI qui affiche votre logo dans les boîtes de réception.
Analyseur de rapports DMARC
Décodez les rapports DMARC XML bruts en résultats lisibles.
Recherche MX
Consultez les serveurs de messagerie publiés par un domaine.
Analyseur d'en-têtes email
Analysez les en-têtes d'email pour retracer la livraison et l'authentification.
Convertisseur BIMI SVG Tiny P/S
Convertissez un logo SVG au profil BIMI Tiny P/S.
Surveillez les changements DNS de votre domaine
Une vérification DNSSEC est un instantané. Un compte gratuit surveille les enregistrements DNS et l'authentification email de votre domaine 24h/24 et vous alerte dès qu'un enregistrement change, pour qu'une clé qui expire ou une délégation rompue ne devienne jamais une panne silencieuse.