Qu’est-ce que le DNSSEC ?
Le DNSSEC (Domain Name System Security Extensions) ajoute des signatures numériques au DNS (Domain Name System) d’un nom de domaine afin de déterminer l’authenticité du nom de domaine source. Le DNSSEC est conçu pour protéger les internautes contre les données DNS falsifiées, comme une adresse trompeuse ou malveillante au lieu de l’adresse légitime qui a été demandée.
Lorsque le DNSS est activé, les recherches DNS utilisent une signature numérique pour vérifier que la source du DNS de votre site est valide. Cela contribue à empêcher certains types d’attaque ; si la signature numérique ne correspond pas, les navigateurs n’afficheront pas le site.
Pourquoi n’y a-t-il plus de résolution de mon site Web une fois que j’ai activé le DNSSEC ?
La signature numérique que vous consignez dans un enregistrement DS (Déclaration de signature) doit correspondre à la signature numérique générée par les serveurs de noms de votre domaine. Si ce n’est pas le cas, le domaine ne peut pas résoudre votre site Web. Examinez soigneusement les informations de l’enregistrement DS que vous avez entrées par rapport à l’enregistrement de zone consigné sur le serveur de noms et assurez-vous qu’elles correspondent.
Comment puis-je activer le DNSSEC et signer ma zone ?
Si vous mettez à niveau vers DNS Premium et que vous activez DNSSEC avec nous dans votre compte, nous nous occuperons du processus de signature de zone.
Vous pouvez définir le DNSSEC autogéré par le biais de votre fournisseur DNS. Pour activer le DNSSEC autogéré, vous devez créer numériquement des clés privées et publiques et générer un enregistrement de déclaration de signature pendant le processus de signature du nom de domaine. Les exigences et les restrictions peuvent dépendre du registre de votre nom de domaine et de votre fournisseur DNS. Contactez votre fournisseur DNS pour plus d’informations.
Comment puis-je savoir si l’URL que j’ai demandée est compatible avec le DNSSEC ?
S’il existe un problème de vérification avec une URL compatible DNSSEC, vous recevez un message indiquant que le site n’existe pas.
Malheureusement, les navigateurs ne sont actuellement pas configurés pour identifier le DNSSEC. Ils ne vous donnent pas de retour visuel pour les sites sécurisés par DNSSEC, comme ils le font lorsqu’un site est sécurisé par un SSL (icône de cadenas).
Puisque le DNSSEC contribue à sécuriser Internet, pourquoi n’est-il pas systématiquement utilisé ?
La mise en œuvre du DNSSEC sur Internet n’est pas chose aisée. Cette mise en œuvre nécessite en outre un consensus et des dépenses (souvent importantes) à l’échelle du globe. La mise en œuvre ne cesse de progresser, une extension de nom de domaine (et son registre) à la fois. À mesure que chaque extension deviendra compatible DNSSEC, nous serons là afin de soutenir l’effort pour les noms de domaine enregistrés par notre intermédiaire.
Dans quels cas l’utilisation d’un DNSSEC n’est pas recommandée ?
Même si en théorie le DNSSEC peut être utilisé par tous les domaines, certains facteurs peuvent limiter son application. Un DNSSEC a besoin de beaucoup d’informations, ce qui peut nuire aux performances d’un site. Il peut fragiliser DNS et augmenter le risque d’échec.
Cependant, si vous avez des données sensibles à protéger, les risques potentiels sont minimes, et activer un DNSSEC peut s’avérer très utile. Si vous n’êtes en général pas la cible d’activités malveillantes, que vous ne collectez pas de données sensibles ou que vous n’êtes pas une personne exposée (personnage public, par exemple), vous pouvez vous passer du DNSSEC.
Étape connexe
- Mettez à niveau vers DNS Premium et activez DNSSEC pour tirer parti de nos services DNSSEC entièrement gérés.
- Pour bénéficier d’un DNSSEC autogéré, ajoutez un nouvel enregistrement DS à votre domaine.
En savoir plus
- Certains domaines, comme les ccTLD, ne sont pas compatibles avec DNSSEC.
- Sécurisez votre site Web avec un certificat SSL et la Sécurité site Web.
- Nous vous recommandons d’activer la vérification en 2 étapes pour protéger l’ensemble de votre compte GoDaddy.