Dernière mise à jour :27 mars 2023

Publication :13 mars 2021

Je rencontre l’erreur suivante « DNS_PROBE_FINISHED_NXDOMAIN » comment la corriger ?

L’erreur DNS_PROBE_FINISHED_NXDOMAIN peut provenir de plusieurs problèmes.

1. Vérifier les NS de votre domaine

Pensez à vérifier que votre nom de domaine pointe correctement vers le serveur EasyHoster où est hébergé votre site.

Pour connaitre les NS à utiliser, vous pouvez consulter le billet suivant :

Quels serveurs de nom (DNS) dois-je utiliser pour faire pointer mon domaine vers EasyHoster ?

Vous pouvez vérifier si les NS de votre domaine sont corrects grâce à l’outil Nslookup.io.

2. Votre domaine est-il toujours actif ?

Pensez également à vérifier que vous avez bien renouvelé votre nom de domaine auprès de votre registrar.

Si EasyHoster est votre registrar, vérifiez dans votre compte client que vous n’avez aucune facture impayée.

3. Mes NS sont corrects mais j’ai toujours l’erreur DNS_PROBE_FINISHED_NXDOMAIN, le problème du DNSSEC

Vérifiez si l’option DNSSEC a été activée pour votre domaine auprès de votre registrar.

Par exemple, si votre registrar est OVH, vous pourrez voir dans votre tableau de bord si DNSSEC a été activé ou non, ici :

Encore plus efficace et précis, vous pouvez également vérifier si DNSSEC est activé ou non en utilisant l’outil de Zonemaster.fr, un service de l’AFNIC.

Si DNSSEC n’a pas été activé, vous devriez voir ceci :

Si par contre DNSSEC a été activé, vous verrez ceci :

En alternative, le DNSSEC Analyzer de Verisign peut être utile :
https://dnssec-analyzer.verisignlabs.com

Voici à quoi vous attendre sur l’Analyzer de Verisign.

Le DNSSEC a été activé côté registrar.

Domaine avec DS Records (delegation signer)

Un fichier DS Records (Delegation Signer) est présent.

Le DNSSEC n’est pas activé côté registrar.

Domaine sans DS Records (delegation signer)

Aucun fichier DS Records (delegation signer) n’est présent.

Si vous n’êtes pas un expert, nous vous conseillons de ne pas activer DNSSEC pour votre nom de domaine sans vous être documenté de façon détaillée. Cette mesure de sécurité est assez récente. Elle se démocratise depuis 2017. Elle est particulièrement utile à des sites ayant de grandes exigences en termes de sécurité (sites de banques en ligne, etc). En 2019, l’AFNIC déclarait que seulement 13% des .fr étaient Signés DNSSEC.

Actuellement, pour l’utilisateur moyen, les compétences pour la configuration / l’activation de DNSSEC et les risques de rendre leur site inaccessible (pendant 24h ou plus) sont toujours très importants. Les pannes de DNSSEC sont difficiles à diagnostiquer à cause des problématiques de propagation : “On dirait que les NS ne se propagent pas pendant plusieurs jours”. C’est ce qu’on entend des utilisateurs qui activent et configurent mal DNSSEC avant de finir par contacter leur registrar pour faire supprimer les DS Records.

Désactiver DNSSEC

Prenez contact avec le bureau d’enregistrement de votre nom de domaine actuel (registrar) ou vérifiez votre interface client et la documentation de votre registrar. Seule l’organisation qui gère actuellement votre nom de domaine a le pouvoir de désactiver DNSSEC en supprimant le fichier DS Record. Il s’agit d’ailleurs d’une procédure assez lourde en interne, puisqu’elle nécessite pour le registrar accrédité, d’envoyer (activation) ou de demander la suppression (désactivation) d’un fichier DS Records (Delegation Signer) et ce, directement auprès du Global Registar qui régit le Level Domain .com pour les .COM, .fr pour les .FR, etc. Il ne s’agit pas d’une tâche qui peut être exécutée toutes les 5 minutes par les registrars du monde entier. D’où les délais très longs et pénibles à supporter.

4. Vous avez activé DNSSEC, ajouter une clé de chiffrement

Attention aux probables délais de propagation

Avant une intervention de ce type, demandez-vous toujours si vous êtes prêt à gérer une panne de longue durée pour votre site Internet, avec tous les aller et retour que cela peut engendrer. Voyez, par exemple, le délai annoncé chez nos confrères de chez OVHCloud, l’un des principales registrar en France.

Délai de modification au niveau du DNSSEC chez OVHCloud.

Cliquez ici pour lire une autre conversion intéressante au sujet de DNSSEC. On peut lire des discussions similaires presque toutes les semaines sur le forum officiel d’OVH.

Vous décidez d’activer DNSSEC chez votre registrar ?

Si votre registrar vous a fourni une clé de chiffrement à importer chez EasyHoster

Vous devrez la renseigner dans votre compte cPanel EasyHoster en vous rendant dans l’onglet « Zone Editor » et en cliquant sur « DNSSEC ».

Ensuite, cliquez sur « Importer une clé » et renseignez-la dans le champ.

Si votre registrar vous demande une clé de chiffrement.

Toujours dans l’onglet « Zone editor » de votre compte cPanel, après avoir cliqué sur « DNSSEC » à côté de votre domaine, cliquez sur créer une clé et copiez la clé fournie par EasyHoster.

Grâce à cPanel, EasyHoster est en mesure de générer rapidement des clés DNSSEC compatibles avec votre hébergement Web.

Vous pourrez ensuite la renseigner auprès de votre registrar. Voici par exemple les informations demandées par un registrar comme Dynadot.

DNSSEC chez un registrar (Dynadot)

Entrez votre clé DNSSEC chez votre registrar. Digest Type : SHA-1, SHA-256, GOST R 34.11-94, SHA-384. Algorithm : RSA/MD5, Diffie-Hellman, DSA/SHA-1, Elliptic Curve, RSA/SHA-1, DSA-NSEC3-SHA1, RSASHA1-NSEC3-SHA1, RSA/SHA-256 , RSA/SHA-512 , GOST R 34.10-2001 , ECDSA Curve P-256 with SHA-256 , ECDSA Curve P-384 with SHA-384 , ED25519, ED448, Indirect , Private DNS , Private OID.

Attention, il s’agit d’interventions sensibles à ne réaliser que si vous êtes certain de ce que vous faites. Si ce n’est pas le cas, nous vous conseillons de ne pas activer DNSSEC pour votre domaine.

Run AutoSSL ne renouvelle pas le certificat SSL de mon domaine

Après avoir activé DNSSEC pour votre domaine, il est possible qu’effectuer un Run AutoSSL de votre certificat SSL ne fonctionne pas. Vous aurez, alors, l’erreur suivante :

MASTER DCV: 400 urn:ietf:params:acme:error:dns (There was a problem with a DNS query) (DNS problem: SERVFAIL looking up TXT for _acme-challenge.nom.yt - the domain's nameservers may be malfunctioning)

Puisque la mauvaise configuration de DNSSEC fait apparaitre les mêmes symptômes que la mauvaise configuration des Name Servers, l’erreur affichée dans le module AutoSSL de cPanel ne représente pas un moyen fiable de diagnostiquer si oui ou non vous avez un problème lié aux serveurs DNS ou au certificat SSL.

Typiquement, si vous avez une erreur totalement liée à votre certificat SSL, votre site sera accessible en HTTP. Alors qu’avez une erreur de serveurs de nom le site est totalement inaccessible.

Dans ce cas, il sera nécessaire de désactiver DNSSEC de votre domaine, patienter le temps que cette modification se propage et relancer un Run AutoSLL pour votre domaine.

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.