Qu’est-ce que le DNSSEC ?
Le protocole DNSSEC (Domain Name Security Extensions) est une fonctionnalité DNS avancée qui ajoute une couche de sécurité supplémentaire à vos domaines en joignant des enregistrements de signature numérique (DS) à leurs informations DNS. Mettez à niveau vers DNS Premium et vous pourrez activer DNSSEC dans votre compte. Si vous utilisez un protocole DNSSEC autogéré, vous pouvez ajouter un enregistrement DS manuellement dans votre compte.
Sélectionnez une question pour voir sa réponse:
- Qu’est-ce que le DNSSEC ?
- Pourquoi n’y a-t-il plus de résolution de mon site Web une fois que j’ai activé le DNSSEC ?
- Comment puis-je activer le DNSSEC et signer ma zone ?
- Comment puis-je savoir si l’URL que j’ai demandée est compatible avec le DNSSEC ?
- Puisque le DNSSEC contribue à sécuriser Internet, pourquoi n’est-il pas systématiquement utilisé ?
- Dans quels cas l’utilisation d’un DNSSEC n’est pas recommandée ?
Qu’est-ce que le DNSSEC ?
Le DNSSEC (Domain Name System Security Extensions) ajoute des signatures numériques au DNS (Domain Name System) d’un nom de domaine afin de déterminer l’authenticité du nom de domaine source. Le DNSSEC est conçu pour protéger les internautes contre les données DNS falsifiées, comme une adresse trompeuse ou malveillante au lieu de l’adresse légitime qui a été demandée.
Lorsque le DNSS est activé, les recherches DNS utilisent une signature numérique pour vérifier que la source du DNS de votre site est valide. Cela contribue à empêcher certains types d’attaque ; si la signature numérique ne correspond pas, les navigateurs n’afficheront pas le site.
Pourquoi n’y a-t-il plus de résolution de mon site Web une fois que j’ai activé le DNSSEC ?
La signature numérique que vous consignez dans un enregistrement DS (Déclaration de signature) doit correspondre à la signature numérique générée par les serveurs de noms de votre domaine. Si ce n’est pas le cas, le domaine ne peut pas résoudre votre site Web. Examinez soigneusement les informations de l’enregistrement DS que vous avez entrées par rapport à l’enregistrement de zone consigné sur le serveur de noms et assurez-vous qu’elles correspondent.
Comment puis-je activer le DNSSEC et signer ma zone ?
GoDaddy offre une option entièrement gérée pour le DNSSEC à travers notre DNS Premium. Si vos domaines utilisent les serveurs de noms GoDaddy, vous pouvez activer le DNSSEC sur ces domaines. Nous nous occuperons du processus de signature de zone en votre nom.
Si votre domaine est enregistré auprès de GoDaddy mais n'utilise pas les serveurs de noms GoDaddy, vous devrez configurer le DNSSEC autogéré par votre fournisseur DNS. Vous devez créer numériquement des clés privées et publiques et générer un enregistrement de déclaration de signature pendant le processus de signature du nom de domaine. Les exigences et les restrictions peuvent dépendre du registre de votre domaine et de votre fournisseur DNS. Contactez votre fournisseur DNS pour plus d'informations, ou passez aux serveurs de noms GoDaddy et à DNS Premium pour activer le DNSSEC entièrement géré par notre intermédiaire.
Comment puis-je savoir si l’URL que j’ai demandée est compatible avec le DNSSEC ?
S’il existe un problème de vérification avec une URL compatible DNSSEC, vous recevez un message indiquant que le site n’existe pas.
Malheureusement, les navigateurs ne sont actuellement pas configurés pour identifier le DNSSEC. Ils ne vous donnent pas de retour visuel pour les sites sécurisés par DNSSEC, comme ils le font lorsqu’un site est sécurisé par un SSL (icône de cadenas).
Puisque le DNSSEC contribue à sécuriser Internet, pourquoi n’est-il pas systématiquement utilisé ?
La mise en œuvre du DNSSEC sur Internet n’est pas chose aisée. Cette mise en œuvre nécessite en outre un consensus et des dépenses (souvent importantes) à l’échelle du globe. La mise en œuvre ne cesse de progresser, une extension de nom de domaine (et son registre) à la fois. À mesure que chaque extension deviendra compatible DNSSEC, nous serons là afin de soutenir l’effort pour les noms de domaine enregistrés par notre intermédiaire.
Dans quels cas l’utilisation d’un DNSSEC n’est pas recommandée ?
Même si en théorie le DNSSEC peut être utilisé par tous les domaines, certains facteurs peuvent limiter son application. Un DNSSEC a besoin de beaucoup d’informations, ce qui peut nuire aux performances d’un site. Il peut fragiliser DNS et augmenter le risque d’échec.
Cependant, si vous avez des données sensibles à protéger, les risques potentiels sont minimes, et activer un DNSSEC peut s’avérer très utile. Si vous n’êtes en général pas la cible d’activités malveillantes, que vous ne collectez pas de données sensibles ou que vous n’êtes pas une personne exposée (personnage public, par exemple), vous pouvez vous passer du DNSSEC.
Étape connexe
- Mettez à niveau vers DNS Premium et activez DNSSEC pour tirer parti de nos services DNSSEC entièrement gérés.
- Pour bénéficier d’un DNSSEC autogéré, ajoutez un nouvel enregistrement DS à votre domaine.
En savoir plus
- Certains domaines, tels que les domaines de code de pays, ne prennent pas en charge les DNSSEC.
- Sécurisez votre site Web avec un certificat SSL et la Sécurité site Web.
- Nous vous recommandons d’activer la vérification en 2 étapes pour protéger l’ensemble de votre compte GoDaddy.