Aller au contenu principal

DNSSEC Checker

Validez la chaîne de confiance DNSSEC de votre domaine

Plus de 30 % des résolveurs mondiaux valident DNSSEC : une seule erreur dans la chaîne de confiance suffit à rendre votre domaine inaccessible pour ces utilisateurs. Cet outil vérifie chaque maillon, de la racine DNS jusqu'à votre zone, et détecte les problèmes avant qu'ils ne causent une interruption.

Mode

Chaîne de confiance complète

Vérification zone par zone depuis la racine (.) jusqu'à votre domaine, en validant chaque délégation DS/DNSKEY.

Détection d'algorithmes faibles

Identifie les algorithmes de signature obsolètes (RSAMD5, DSA) et les digests dépréciés (SHA-1) selon la RFC 8624.

DS orphelins et incohérences

Détecte les enregistrements DS publiés au parent sans DNSKEY correspondante dans la zone enfant.

Vérification des signatures RRSIG

Valide chaque signature RRSIG sur les RRSets DS et DNSKEY, et vérifie qu'elles sont dans leur fenêtre de validité.

Diagnostics détaillés

Rapport complet avec erreurs, avertissements et informations classés par sévérité pour chaque zone de la chaîne.

Pourquoi vérifier DNSSEC ?

DNSSEC (DNS Security Extensions) ajoute une couche de vérification cryptographique au DNS. Sans DNSSEC, un attaquant peut falsifier les réponses DNS pour rediriger le trafic vers des serveurs malveillants (cache poisoning).

Un DS orphelin ou une rotation de clés mal finalisée peut transformer un domaine parfaitement configuré en un domaine inaccessible, sans qu'aucun monitoring HTTP ne détecte le problème. Les résolveurs validants (Google Public DNS, Cloudflare 1.1.1.1) renvoient simplement SERVFAIL.

Trois raisons de vérifier votre DNSSEC :

  • Sécurité : S'assurer que la chaîne de confiance est intacte et que les visiteurs atteignent bien vos serveurs
  • Conformité : De plus en plus d'organisations exigent DNSSEC pour les domaines sensibles (secteur bancaire, gouvernement, santé)
  • Détection de problèmes : Identifier les DS orphelins, algorithmes faibles ou signatures expirées avant qu'ils ne causent des interruptions

Comment utiliser le DNSSEC Checker en 3 étapes

Étape 1 : Entrez votre domaine

Saisissez le nom de domaine à vérifier (par exemple cloudflare.com ou nic.fr). L'outil accepte tout domaine, qu'il soit signé DNSSEC ou non.

Étape 2 : Analysez le rapport zone par zone

L'outil parcourt la chaîne de confiance depuis la racine DNS :

  • Racine (.) : Vérification des trust anchors
  • TLD (ex: .com) : Vérification des DS et DNSKEY du TLD
  • Votre domaine : Vérification des DS, DNSKEY et RRSIG

Pour chaque zone, vous voyez les enregistrements DS, DNSKEY et signatures RRSIG avec leur statut de validation.

Étape 3 : Corrigez les problèmes détectés

Le rapport identifie clairement :

  • Les erreurs (chaîne cassée, signatures invalides)
  • Les avertissements (DS orphelins, algorithmes faibles)
  • Les informations (CSK détectée, NS hors-bailiwick)

Qu'est-ce que la chaîne de confiance DNSSEC ?

La chaîne de confiance DNSSEC fonctionne comme une série de vérifications en cascade :

Racine (.)
  |-- DS du TLD --> vérifie la DNSKEY du TLD
  |-- La ZSK du TLD signe le DS de votre domaine
        |-- DS de votre domaine --> vérifie votre DNSKEY (KSK)
        |-- Votre KSK signe le DNSKEY RRSet
        |-- Votre ZSK signe les données (A, MX, SOA, NS)

Chaque maillon dépend du précédent. Si un seul est cassé, toute la validation échoue.

Que vérifie exactement l'outil ?

ÉlémentDescriptionRésultat
DS RecordsEnregistrements DS publiés chez le parentMatch avec DNSKEY, orphelins, digest faible
DNSKEY RecordsClés publiques de la zone (KSK/ZSK)Présence, algorithme, association DS
RRSIG sur DSSignature du DS RRSet par la ZSK du parentValidité cryptographique
RRSIG sur DNSKEYSignature du DNSKEY RRSet par la KSKValidité cryptographique
AlgorithmesType d'algorithme de signatureDétection algorithmes dépréciés (RFC 8624)
Digests DSType de hash du DSDétection SHA-1 déprécié

Diagnostics courants et solutions

DS orphelin (DNSSEC_DS_ORPHAN)

Symptôme : Un enregistrement DS est publié chez le parent mais aucune DNSKEY correspondante n'existe dans votre zone.

Cause probable : Rotation de clés incomplète ou ancienne clé supprimée avant le DS.

Action : Supprimez le DS orphelin chez votre registrar, ou ajoutez la DNSKEY correspondante dans votre zone.

Algorithme faible (DNSSEC_WEAK_ALGO)

Symptôme : Votre zone utilise un algorithme de signature considéré comme non sûr.

Action : Planifiez une migration vers ECDSAP256SHA256 (algorithme 13) ou ED25519 (algorithme 15).

Digest SHA-1 (DNSSEC_WEAK_DIGEST)

Symptôme : Votre DS utilise SHA-1 comme type de digest.

Action : Ajoutez un DS avec SHA-256 (type 2) en parallèle, puis supprimez le DS SHA-1 une fois la propagation terminée.

Cas d'usage concrets

Activation DNSSEC

Vous venez d'activer DNSSEC chez votre registrar. Lancez une vérification pour confirmer que le DS publié au parent correspond bien à la DNSKEY de votre zone et que la chaîne de confiance est complète.

Rotation de clés (key rollover)

Après un key rollover, vérifiez l'absence de DS orphelins. Un ancien DS non supprimé ne casse pas la résolution, mais il signale une configuration incomplète et peut compliquer un futur rollover.

Migration de provider DNS

Vous migrez vers Cloudflare, Route 53 ou un autre hébergeur DNS. Vérifiez que les DS chez le registrar pointent vers les nouvelles DNSKEY du provider, et non vers les anciennes clés.

Vérifiez votre domaine maintenant : saisissez-le dans le champ ci-dessus pour obtenir un rapport complet en quelques secondes.

Outils complémentaires

OutilUtilité
DNS Domain CheckAudit complet de la configuration DNS incluant une vérification DNSSEC basique
DNS LookupInterroger manuellement les enregistrements DS, DNSKEY ou RRSIG
DNS Propagation TestVérifier la propagation des modifications DNSSEC à travers le monde

Ressources utiles