Bien plus qu'un hébergeur !
Besoin d'aide ?

DNSSEC : qu’est-ce que c’est et pourquoi le désactiver 24h avant le transfert de votre domaine

Pour comprendre ce qu’est « DNSSEC », il va falloir que nous abordions d’abord ensemble le fonctionnement des DNS.

Les DNS

Le système « DNS » est utilisé pour traduire les noms de domaine (comme votredomaine.fr) en adresses Internet numériques (comme 198.161.0.1).

Bien que ce système d’adresse soit très efficace pour les ordinateurs pour lire et traiter les données, il est extrêmement difficile pour les humains de s’en souvenir. Imaginez si le web avait été construit sur base de ces adresses numériques… Chaque fois que vous auriez besoin de consulter un site Web, vous devriez vous souvenir de l’adresse IP de la machine sur laquelle se trouve le site Web que vous voulez visiter.

Pour éviter aux gens de devoir faire des exercices quotidiens de mémorisation, une adresse IP numérique a été attachée à un nom de domaine.

Les informations relatives aux noms de domaine sont stockées et accessibles sur des serveurs spéciaux, appelés serveurs de noms de domaine (serveurs DNS), qui convertissent les noms de domaine en adresses IP et inversement.

Sécurisation avec DNSSEC

Lorsque les DNS ont été créés, il n’étaient pas sécurisés. Peu de temps après leurs mise en service, plusieurs vulnérabilités ont été découvertes. Des systèmes malveillants cherchaient à modifier les adresses IP fournies par les DNS afin de détourner le trafic de certains sites.

En conséquence, un système de sécurité a été développé sous la forme d’extensions qui pourraient être ajoutées aux protocoles DNS existants. Les extensions de sécurité du système de nom de domaine (DNSSEC) sont un ensemble de protocoles qui ajoutent une couche de sécurité supplémentaires aux processus de recherche et d’échange du système de nom de domaine (DNS), qui sont devenus partie intégrante de l’accès aux sites Web via Internet. DNSSEC permet de sécuriser les échanges entre machines et ainsi de garantir l’authenticité de la réponse DNS.

Comment savoir si son nom de domaine est protégé par DNSSEC ?

Pour vérifier en ligne si votre registrar a activé le DNSSEC sur votre domaine, vous pouvez utiliser cet outil : https://gf.dev/dnssec-test

Si votre domaine est protégé par DNSSEC, vous verrez ceci : 

Si votre domaine n’est pas protégé par DNSSEC, vous verrez ceci : 

Pourquoi faut-il désactiver DNSSEC avant de transférer son nom de domaine ?

Lorsque le DNSSEC est activé sur un nom de domaine alors qu’un transfert vers un autre registrar a été initié, cela peut engendrer certaines situations problématiques :

  • Interruption de la procédure de transfert
  • Impossibilité de changer les NS du domaine

Ce qui pourrait rendre le site Web concerné indisponible pendant parfois plusieurs jours !

DNSSEC failure often happens after a zone has switched from a hosting service that supports DNSSEC to one that does not support DNSSEC. If the previous hosting service did not remove the DS records from the parent zone (.com for example.com), and the new hosting service is unable to add the DNSKEY records to the child zone (example.com), Google Public DNS cannot validate the zone and returns SERVFAIL. The solution is to ask the previous hosting service to remove those obsolete DS records.
Source : Aide de Google Domains

Nous vous recommandons donc d’initier vos transferts de noms de domaine en début de semaine afin de pouvoir bénéficier du support des bureaux d’enregistrements (fermés le week-end) si nécessaire. Nous vous conseillons également de vous rapprocher de votre précédent registrar afin de vous assurer au préalable que rien ne s’oppose au transfert de votre nom de domaine (enregistrements DNSSEC…).

Afin d’éviter tout problème, il est donc vivement conseillé de désactiver DNSSEC 24h avant d’entamer une procédure de transfert d’un nom de domaine. Pour cela, reportez vous à la documentation de votre registrar ou contacter leur support technique.

En cas de doute avant un transfert chez EasyHoster, n’hésitez pas à contacter le support technique.

Désactiver DNSSEC, c’est nécessaire aussi pour une migration interne à EasyHoster

Si pour une raison ou une autre, il est nécessaire de migrer votre compte d’hébergement EasyHoster, vers un autre serveur EasyHoster, il est impératif de désactiver DNSSEC chez votre registrar pendant au moins 48h avant le transfert. Voici ce que dit le documentation officielle de cPanel à ce sujet.

Si vous transférez un compte vers un autre serveur cPanel, vous devez supprimer les DS Records (Delegation Signer) depuis le bureau d’enregistrement (registrar) avant de transférer le site Internet.
Pour transférer un compte avec DNSSEC activé, procédez comme suit pour chaque domaine :
– Supprimez les enregistrements DS du registrar.
– Attendez que les modifications se propagent. Cela peut prendre jusqu’à 72 heures.
– Effectuez le transfert.
– Mettez à jour manuellement le registrar avec les nouveaux DS Records.
Si vous ne supprimez pas les anciens DS Records du registrar, les domaines peuvent générer des problèmes de résolution DNS en raison de réponses DNSSEC non valides.

J’ai oublié de désactiver DNSSEC avant de réaliser le transfert, que puis-je faire ?

Nous vous recommandons la lecture de cet article sur le dépannage de DNSSEC.

L'avez-vous manqué : Je rencontre l’erreur suivante « DNS_PROBE_FINISHED_NXDOMAIN » comment la corriger ?
Sur le même sujet : Comment faire pointer mon nom de domaine localement vers EasyHoster ?
Sommaire