Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

DNSSEC Checker

Testez et validez la chaîne de confiance DNSSEC de votre domaine

Plus de 30 % des résolveurs mondiaux valident DNSSEC. Une seule erreur dans la chaîne de confiance suffit pour faire disparaître votre domaine auprès de millions d'utilisateurs. Google Public DNS, Cloudflare 1.1.1.1 et Quad9 renvoient SERVFAIL au lieu de votre site. Cet outil vérifie chaque maillon, de la racine DNS à votre zone, et détecte les problèmes avant la panne.

Mode

Chaîne de confiance complète

Vérification zone par zone depuis la racine (.) jusqu'à votre domaine, en validant chaque délégation DS/DNSKEY.

Détection d'algorithmes faibles

Identifie les algorithmes obsolètes (RSAMD5, DSA) et les digests dépréciés (SHA-1) selon la RFC 8624.

DS orphelins et incohérences

Détecte les enregistrements DS publiés au parent sans DNSKEY correspondante dans la zone enfant.

Mode complet multi-serveurs

Vérifie la cohérence DNSKEY entre tous les serveurs autoritaires et valide les signatures RRSIG sur SOA, NS, A et MX.

Diagnostics détaillés

Rapport avec erreurs, avertissements et informations classés par sévérité. Badges d'expiration RRSIG en temps réel.

Pourquoi vérifier DNSSEC ?

DNSSEC (DNS Security Extensions) ajoute une vérification cryptographique aux réponses DNS. Sans cette protection, un attaquant peut falsifier les réponses et rediriger votre trafic vers ses propres serveurs. C'est le principe du cache poisoning.

Le danger est silencieux. Un DS orphelin ou une rotation de clés incomplète fait disparaître un domaine. Aucun monitoring HTTP, aucun ping, aucun uptime check ne détectera ce problème. Ces pannes silencieuses persistent des jours. Les résolveurs validants (Google, Cloudflare, Quad9) renvoient SERVFAIL au lieu de la réponse attendue.

Quatre raisons de vérifier votre DNSSEC :

  • Sécurité : Confirmer que la chaîne est intacte. Vos visiteurs atteignent vos serveurs, pas ceux d'un attaquant.
  • Disponibilité : Un DNSSEC cassé bloque 30 %+ des requêtes mondiales. Google, Cloudflare et Quad9 rejettent la réponse.
  • Conformité : Banques, gouvernements, santé et e-commerce exigent DNSSEC sur les domaines critiques.
  • Détection proactive : Repérer DS orphelins, algorithmes faibles et signatures expirées avant la panne.

Comment utiliser le DNSSEC Checker en 3 étapes

Étape 1 : Entrez votre domaine

Saisissez le nom de domaine à vérifier (par exemple cloudflare.com ou nic.fr). L'outil accepte tout domaine, signé DNSSEC ou non. Si DNSSEC n'est pas activé, le résultat l'indique immédiatement.

Étape 2 : Choisissez le mode d'analyse

  • Mode Simple (par défaut) : Vérifie la chaîne de confiance complète via un serveur autoritaire par zone. Résultat en 1 à 3 secondes.
  • Mode Complet : Ajoute la cohérence DNSKEY entre tous les serveurs autoritaires. Valide aussi les signatures RRSIG sur SOA, NS, A et MX. Résultat en 5 à 10 secondes.

En cas de doute, commencez par le mode Simple. Utilisez le mode Complet après un key rollover, une migration DNS ou pour un audit de sécurité.

Étape 3 : Analysez le rapport et corrigez

Le rapport classe chaque anomalie par sévérité :

  • Les erreurs bloquent la résolution. Chaîne cassée, signatures invalides, incohérence entre serveurs.
  • Les avertissements nécessitent une action. DS orphelins, algorithmes faibles, RRSIG expirant bientôt.
  • Les informations ne requièrent aucune action. CSK détectée, NS hors-bailiwick, nombre de DS au parent.

Qu'est-ce que la chaîne de confiance DNSSEC ?

La chaîne de confiance DNSSEC (chain of trust) est un relais de vérifications cryptographiques en cascade. Chaque zone se porte garante de la suivante, de la racine DNS jusqu'à votre domaine :

Racine (.)
  |-- DS du TLD --> vérifie la DNSKEY du TLD (KSK)
  |-- La ZSK du TLD signe le DS de votre domaine
        |-- DS de votre domaine --> vérifie votre DNSKEY (KSK)
        |-- Votre KSK signe le DNSKEY RRSet
        |-- Votre ZSK signe les données (A, MX, SOA, NS)

Les enregistrements clés :

EnregistrementRôleOù il est publié
DS (Delegation Signer)Hash d'une DNSKEY enfant, crée le lien entre zonesZone parent
DNSKEYClé publique de la zone (KSK = flags 257, ZSK = flags 256)Zone enfant
RRSIGSignature cryptographique d'un ensemble d'enregistrementsZone enfant
NSEC/NSEC3Preuve authentifiée d'inexistence d'un enregistrementZone enfant

Chaque maillon dépend du précédent. Un seul maillon brisé et toute la chaîne s'effondre. Les résolveurs validants renvoient alors SERVFAIL.

Que vérifie exactement l'outil ?

Mode Simple

ÉlémentDescriptionRésultat
DS RecordsEnregistrements DS publiés chez le parentMatch avec DNSKEY, orphelins, digest faible
DNSKEY RecordsClés publiques de la zone (KSK/ZSK)Présence, algorithme, association DS
RRSIG sur DSSignature du DS RRSet par la ZSK du parentValidité cryptographique + fenêtre temporelle
RRSIG sur DNSKEYSignature du DNSKEY RRSet par la KSKValidité cryptographique + fenêtre temporelle
AlgorithmesType d'algorithme de signatureDétection algorithmes dépréciés (RFC 8624)
Digests DSType de hash du DSDétection SHA-1 déprécié

Mode Complet (en plus)

ÉlémentDescriptionRésultat
Cohérence DNSKEYCompare les DNSKEY sur tous les serveurs autoritairesDétection d'incohérences entre serveurs
RRSIG sur SOASignature de l'enregistrement SOAValidité + délai avant expiration
RRSIG sur NSSignature des enregistrements NSValidité + délai avant expiration
RRSIG sur A/MXSignatures des enregistrements A et MXValidité + délai avant expiration
Expiration RRSIGDélai avant expiration de chaque signatureAlerte si expiration dans moins de 7 jours

Diagnostics courants et solutions

DS orphelin (DNSSEC_DS_ORPHAN)

Symptôme : Un enregistrement DS est publié chez le parent mais aucune DNSKEY correspondante n'existe dans votre zone.

Cause probable : Rotation de clés incomplète. L'ancienne clé a été supprimée de la zone avant la mise à jour du DS chez le registrar.

Action : Supprimez le DS orphelin via votre registrar ou ajoutez la DNSKEY correspondante. Relancez le test pour confirmer.

Algorithme faible (DNSSEC_WEAK_ALGO)

Symptôme : Votre zone utilise un algorithme de signature considéré comme non sûr par la RFC 8624.

Algorithmes concernés : RSAMD5 (1), DSA (3), DSA-NSEC3-SHA1 (6) sont interdits. RSASHA1-NSEC3-SHA1 (7) est déconseillé.

Action : Migrez vers ECDSAP256SHA256 (13) ou ED25519 (15). Relancez le test pour confirmer.

Digest SHA-1 (DNSSEC_WEAK_DIGEST)

Symptôme : Votre DS utilise SHA-1 (type 1) comme type de digest.

Action : Ajoutez un DS SHA-256 (type 2) en parallèle. Attendez 48h de propagation, puis supprimez le DS SHA-1. Relancez le test pour confirmer.

SERVFAIL après activation DNSSEC

Symptôme : Votre domaine renvoie SERVFAIL pour les résolveurs validants après activation de DNSSEC.

Causes fréquentes :

  • DS au registrar ne correspond pas à la DNSKEY de votre zone
  • Signatures RRSIG non générées ou expirées
  • Serveurs autoritaires ne servant pas les enregistrements DNSKEY

Action : Lancez le test en mode Complet pour identifier le maillon cassé. Vérifiez que le DS correspond à la DNSKEY KSK. Relancez le test pour confirmer.

Incohérence DNSKEY entre serveurs (DNSSEC_SERVER_INCONSISTENT)

Symptôme : Les serveurs autoritaires de votre zone ne servent pas les mêmes clés DNSKEY. Détecté uniquement en mode Complet.

Cause probable : Propagation incomplète entre serveurs primaire et secondaires, ou configuration différente sur un serveur.

Action : Vérifiez la réplication entre serveurs. Forcez un transfert de zone (AXFR/IXFR) si nécessaire. Relancez le test pour confirmer.

Vérifier DNSSEC avec dig (ligne de commande)

Pour les administrateurs système, la commande dig permet de vérifier DNSSEC manuellement :

# Vérifier les enregistrements DS chez le parent
dig DS captaindns.com +short

# Vérifier les DNSKEY de la zone
dig DNSKEY captaindns.com +dnssec +short

# Vérifier les RRSIG sur un enregistrement
dig A captaindns.com +dnssec

# Vérifier la chaîne complète avec validation
dig captaindns.com +sigchase +trusted-key=./root.keys

Ces commandes nécessitent un accès terminal et une expertise DNS. Le DNSSEC Checker ci-dessus automatise tout le processus. Il présente les résultats visuellement, sans ligne de commande.

DNSSEC par hébergeur DNS

L'activation de DNSSEC dépend de votre hébergeur DNS et de votre registrar. Voici les principaux providers et leur niveau de support :

HébergeurDNSSECActivationAlgorithme par défaut
CloudflareAutomatiqueUn clic dans le dashboard, puis ajout du DS chez le registrarECDSAP256SHA256 (13)
OVHSupportéActivation via l'espace client ou l'APIVarie selon la configuration
AWS Route 53SupportéVia la console AWS, création de KSK puis DS chez le registrarECDSAP256SHA256 (13)
GandiAutomatiqueActivé par défaut si Gandi est registrar + hébergeur DNSECDSAP256SHA256 (13)
InfomaniakSupportéActivation via le managerECDSAP256SHA256 (13)

Après activation, vérifiez toujours la chaîne de confiance avec le DNSSEC Checker. L'erreur n°1 : un DS au registrar qui ne correspond pas à la DNSKEY générée par l'hébergeur.

Bonnes pratiques DNSSEC

Algorithme de signature : Privilégiez ECDSAP256SHA256 (13) ou ED25519 (15). ECDSA produit des signatures 4x plus compactes que RSA-2048.

Digest DS : Publiez un DS avec SHA-256 (type 2). Ne publiez plus de DS SHA-1 seul.

Rotation de clés : Suivez le processus RFC 7583. Ne supprimez jamais l'ancien DS avant propagation du nouveau.

Monitoring : Vérifiez la chaîne après chaque modification DNS. Une zone non re-signée à temps provoque des SERVFAIL.

Migration de provider : Confirmez que le nouveau provider supporte le même algorithme. Les deux jeux de clés doivent coexister pendant la propagation.

Cas d'usage concrets

Activation DNSSEC chez un nouveau registrar

Vous venez d'activer DNSSEC ? Lancez une vérification en mode Simple. Confirmez que le DS au parent correspond à la DNSKEY de votre zone. La chaîne doit être complète de bout en bout.

Rotation de clés (key rollover)

Vous effectuez un key rollover ? Vérifiez l'absence de DS orphelins avec le mode Simple. Un ancien DS non supprimé ne casse pas la résolution. Il complique cependant les futurs rollovers.

Migration de provider DNS

Vous migrez vers Cloudflare ? Route 53 ? Lancez le test en mode Complet. Vérifiez que les DS pointent vers les nouvelles DNSKEY. Confirmez la validité des signatures sur tous les serveurs autoritaires.

Audit de sécurité

Le mode Complet couvre les trois piliers d'un audit DNSSEC. Cohérence DNSKEY entre serveurs. Signatures valides sur SOA, NS, A et MX. Alerte sur les RRSIG proches de l'expiration.

Domaine renvoyant SERVFAIL

Votre site est inaccessible depuis certains réseaux ? Ces réseaux utilisent probablement des résolveurs validants. Lancez le test immédiatement pour identifier si DNSSEC est en cause.

❓ FAQ - Questions fréquentes

Q : DNSSEC, c'est quoi et pourquoi l'activer ?

R : DNSSEC ajoute des signatures cryptographiques aux réponses DNS. Sans DNSSEC, un attaquant peut falsifier les réponses et rediriger le trafic. Activer DNSSEC garantit que les visiteurs atteignent vos serveurs, pas ceux d'un attaquant.

Q : Comment vérifier si DNSSEC est activé sur mon domaine ?

R : Entrez votre domaine dans l'outil ci-dessus. S'il affiche "DNSSEC n'est pas activé", aucun DS n'est publié chez le parent. Contactez votre registrar.

Q : Qu'est-ce qu'un DS orphelin ?

R : Un DS au parent sans DNSKEY correspondante dans la zone enfant. Cela arrive lors d'une rotation de clés incomplète. Pas bloquant tant qu'un autre DS valide existe.

Q : Pourquoi mon domaine renvoie SERVFAIL après activation de DNSSEC ?

R : La chaîne de confiance est cassée. Causes fréquentes : DS ne correspondant pas à la DNSKEY, RRSIG absentes ou expirées, DNSKEY non servies. Lancez le mode Complet pour identifier le maillon défaillant.

Q : Quelle est la différence entre les modes Simple et Complet ?

R : Simple vérifie la chaîne DS/DNSKEY/RRSIG sur un serveur par zone (1-3 s). Complet ajoute la cohérence multi-serveurs et les RRSIG sur SOA/NS/A/MX (5-10 s).

Q : Quels algorithmes DNSSEC sont recommandés ?

R : ECDSAP256SHA256 (13) et ED25519 (15). Évitez RSAMD5, DSA et RSASHA1-NSEC3-SHA1, considérés comme faibles par la RFC 8624.

Q : DNSSEC ralentit-il la résolution DNS ?

R : Impact négligeable. Les réponses sont plus volumineuses mais les résolveurs mettent en cache les résultats validés normalement.

Outils complémentaires

OutilUtilité
DNS Domain CheckAudit complet de la configuration DNS incluant une vérification DNSSEC basique
DNS LookupInterroger manuellement les enregistrements DS, DNSKEY ou RRSIG
DNS Propagation TestVérifier la propagation des modifications DNSSEC à travers le monde
RDAP LookupVérifier le statut DNSSEC du domaine auprès du registrar

Ressources utiles