Activer DNSSEC : guide pratique selon votre registrar

DNSSEC (DNS Security Extensions) signe cryptographiquement chaque enregistrement de votre zone DNS à l'aide d'une clé privée. Les résolveurs DNS qui valident DNSSEC vérifient les signatures et rejettent toute réponse falsifiée — ce qui bloque le cache poisoning et la majorité des attaques de type man-in-the-middle sur le DNS. L'activation prend 5 à 30 minutes selon votre registrar et n'a pratiquement aucun coût d'opération.

Pourtant, plus de 60 % des domaines mondiaux fonctionnent sans DNSSEC en 2025 selon ICANN. C'est exactement ce que ciblent les attaquants en priorité. Voici le guide pratique d'activation chez les principaux registrars utilisés en France.

Comment fonctionne DNSSEC en 30 secondes

DNSSEC ajoute trois enregistrements à votre zone DNS :

• RRSIG : signature cryptographique de chaque enregistrement standard (A, MX, TXT, etc.).
• DNSKEY : clé publique qui permet aux résolveurs de vérifier les signatures.
• DS (Delegation Signer) : empreinte de la clé publique, publiée chez le registry parent (.fr, .com, etc.) pour établir la chaîne de confiance.

Quand un résolveur DNSSEC-aware interroge votre domaine, il récupère les signatures, demande la clé publique, demande la DS au registry parent, et vérifie que tout est cohérent. Si la chaîne casse, la réponse est rejetée — l'utilisateur voit un échec de résolution plutôt qu'une réponse falsifiée.

Activer DNSSEC chez OVHcloud

1. Connectez-vous à www.ovh.com/manager
2. Section Domaines → sélectionnez votre domaine
3. Onglet Zone DNS → DNSSEC
4. Cliquez sur Activer DNSSEC
5. OVH génère automatiquement la paire de clés et publie le DS chez le registry du TLD
6. Propagation : 24 à 48 h pour vérification complète

Coût : gratuit chez OVH. Compatible avec les zones DNS hébergées chez OVH.

Activer DNSSEC chez Gandi

1. Connectez-vous à admin.gandi.net
2. Section Domaines → sélectionnez votre domaine
3. Onglet DNSSEC
4. Cliquez sur Activer et choisissez l'algorithme (par défaut RSASHA256 — laissez par défaut)
5. Gandi publie automatiquement la DS chez le registry parent

Coût : gratuit. Si vous utilisez les nameservers Gandi (par défaut), tout est automatique.

Activer DNSSEC chez Cloudflare Registrar

1. Connectez-vous à dash.cloudflare.com
2. Sélectionnez votre domaine
3. Onglet DNS → Settings
4. Section DNSSEC → Enable DNSSEC
5. Cloudflare affiche le DS record à publier chez le registry parent — si Cloudflare est aussi votre registrar, c'est automatique

Coût : gratuit. C'est l'activation la plus simple du marché.

Activer DNSSEC chez Namecheap

1. Connectez-vous à ap.www.namecheap.com
2. Onglet Domain List → Manage sur votre domaine
3. Onglet Advanced DNS
4. Section DNSSEC → activez et entrez les valeurs DS générées par votre fournisseur DNS

Note : Namecheap n'héberge pas vos DNS par défaut, donc l'activation DNSSEC dépend du fournisseur DNS que vous utilisez (Cloudflare, AWS Route 53, etc.). Si vous utilisez les BasicDNS Namecheap, l'activation est directe.

Activer DNSSEC sur AWS Route 53

1. Console Route 53 → Hosted Zones → votre zone
2. Onglet DNSSEC signing
3. Cliquez Enable DNSSEC signing
4. Route 53 génère automatiquement la KSK (Key Signing Key)
5. Récupérez le DS record généré et publiez-le chez le registrar de votre domaine
6. Cliquez Add chain of trust une fois la DS publiée chez le registrar

Coût : gratuit côté Route 53 (signing inclus dans le prix de la zone).

Comment vérifier que DNSSEC fonctionne

Trois méthodes :

1. Commande dig

dig +dnssec votre-domaine.fr DNSKEY
dig +dnssec votre-domaine.fr DS

Si DNSSEC est actif, vous voyez les enregistrements DNSKEY et RRSIG dans la réponse. Le flag ad (authenticated data) doit apparaître dans le bloc HEADER.

2. Outil en ligne

Sites gratuits qui testent DNSSEC : dnssec-debugger.verisignlabs.com, dnsviz.net, internet.nl. Ils visualisent la chaîne de confiance et identifient les ruptures.

3. Notre DNS Lookup gratuit

Vérifie la présence des enregistrements DNSSEC en un clic, sans installer d'outil.

Pièges fréquents à éviter

• Changer de fournisseur DNS sans planifier la transition DNSSEC : si vous quittez OVH pour Cloudflare avec DNSSEC actif, désactivez DNSSEC avant le transfert puis réactivez après stabilisation. Sinon, rupture de la chaîne de signature pendant 24-48 h = domaine inaccessible.
• Oublier de publier le DS chez le registrar : si vous utilisez un fournisseur DNS différent du registrar, la signature côté zone ne suffit pas — il faut aussi publier le DS chez le registrar pour fermer la chaîne de confiance.
• Mauvaise interprétation des erreurs : un domaine DNSSEC mal configuré ne renvoie pas "site indisponible" mais SERVFAIL — confondu avec un problème serveur.
• Activer DNSSEC sans monitoring : si la chaîne casse pour une raison quelconque (rotation de clé ratée, registrar qui modifie), votre domaine devient invisible. Le monitoring DNS détecte la rupture immédiatement.

Ce qu'il faut retenir

• DNSSEC bloque le cache poisoning et la falsification de réponses DNS — défense indispensable en 2026.
• Activation gratuite chez la plupart des registrars (OVH, Gandi, Cloudflare, Namecheap, AWS Route 53).
• Procédure : générer/activer côté zone DNS, puis publier le DS chez le registrar parent.
• Vérification : dig +dnssec ou outils en ligne (DNSViz, internet.nl).
• Combinez DNSSEC avec un monitoring DNS pour détecter immédiatement toute rupture de chaîne.

Questions fréquentes

Pourquoi seulement 40 % des domaines ont DNSSEC actif ?

Trois raisons : méconnaissance de la menace cache poisoning, peur de casser quelque chose lors de l'activation, et historique de DNSSEC réputé complexe. En 2026, l'activation est devenue triviale chez les grands registrars — l'écart est de plus en plus indéfendable.

DNSSEC ralentit-il la résolution DNS ?

Marginalement (quelques millisecondes en plus pour les vérifications cryptographiques côté résolveur). Imperceptible pour l'utilisateur. Le gain en sécurité dépasse largement le coût en latence.

Que se passe-t-il si la chaîne DNSSEC casse ?

Les résolveurs validants (Quad9, Cloudflare 1.1.1.1, Google 8.8.8.8) renvoient SERVFAIL et l'utilisateur voit une erreur de résolution. Les résolveurs non-validants (encore majoritaires chez certains FAI) ignorent DNSSEC et résolvent normalement. C'est pour ça qu'un monitoring de la chaîne DNSSEC est essentiel.

Faut-il DNSSEC si on utilise déjà HTTPS ?

Oui. HTTPS protège le canal entre le navigateur et le serveur. DNSSEC protège le canal entre le résolveur et la zone DNS. Sans DNSSEC, un attaquant peut empoisonner le cache d'un résolveur pour rediriger vers une adresse IP malveillante avant même que HTTPS entre en jeu.

Combien coûte DNSSEC chez les registrars français ?

Gratuit chez OVH, Gandi, Cloudflare. Inclus dans le tarif domaine standard. Pas de raison économique de ne pas l'activer.

Comment monitorer la santé DNSSEC en continu ?

Un monitoring DNS qui interroge périodiquement votre zone et alerte si la signature est invalide ou si la chaîne casse. C'est intégré dans Domains Defender (vérification chaque cycle de monitoring).

Activer DNSSEC + monitorer la chaîne

DNSSEC est l'investissement sécurité au plus fort ROI sur votre zone DNS : 30 minutes d'activation, gratuit chez la plupart des registrars, et toute une catégorie d'attaques bloquée. La seule précaution sérieuse est de surveiller la chaîne en continu — une rupture silencieuse rend votre domaine invisible auprès des résolveurs validants.

Domains Defender vérifie l'intégrité de votre zone DNS et alerte au moindre changement (y compris ruptures de signature DNSSEC). Hébergé en France, conforme RGPD, essai gratuit 7 jours à partir de 4,99€ HT/mois.

Vérifier votre DNSSEC gratuitement — ou activer la surveillance continue.