Partie 4 de la série « Sécurité web dans l'UE : 10 étapes pour une meilleure note »
Le fondement invisible
Avant que votre navigateur puisse charger un site web, il doit résoudre le nom de domaine en adresse IP. C'est ce que fait le Domain Name System (DNS) — et il a un problème fondamental : il a été conçu en 1983 sans authentification. Quiconque peut manipuler les réponses DNS peut rediriger les utilisateurs vers des serveurs arbitraires.
Un attaquant sur le même réseau peut falsifier les réponses DNS et rediriger vos clients vers une copie parfaite de votre site web — avec un certificat Let's Encrypt valide, si aucun enregistrement CAA ne restreint l'émission.
Adoption de DNSSEC dans l'UE : 15,8%. Seul un domaine sur six est protégé.
Les chiffres
- DNSSEC : 15,8% validé
- CAA (Certification Authority Authorization) : 3,0%
- DANE/TLSA : moins de 1%
97% des domaines européens n'ont pas d'enregistrement CAA. Cela signifie : n'importe quelle autorité de certification dans le monde peut émettre un certificat valide pour votre domaine — y compris un attaquant ayant accès à une CA compromise.
Qu'est-ce que DNSSEC ?
DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) signe cryptographiquement les réponses DNS. Le serveur de noms résolveur peut vérifier que la réponse provient authentiquement du serveur de noms autoritaire et n'a pas été altérée.
Sans DNSSEC : votre-domaine.com -> 93.184.216.34 (non vérifiable)
Avec DNSSEC : votre-domaine.com -> 93.184.216.34 + RRSIG (signé cryptographiquement)
Comment activer DNSSEC
DNSSEC s'active chez le fournisseur DNS, pas sur votre serveur.
Étape 1 : Vérifier votre fournisseur DNS
La plupart des grands fournisseurs supportent DNSSEC :
| Fournisseur | Support DNSSEC | Activation |
|---|---|---|
| Cloudflare | Oui | Un clic dans le tableau de bord |
| AWS Route 53 | Oui | Via CLI ou Console |
| Google Cloud DNS | Oui | Via CLI ou Console |
| Azure DNS | Oui | Via Portail ou CLI |
| OVH | Oui | Zone DNS > Activer DNSSEC |
| Hetzner | Oui | Console DNS > Activer DNSSEC |
| GoDaddy | Oui | Paramètres du domaine > DNSSEC |
Étape 2 : Activer DNSSEC
Chez la plupart des fournisseurs, c'est un simple bouton dans le panneau de gestion DNS. Le fournisseur génère les clés DNSSEC et signe la zone automatiquement.
Étape 3 : Ajouter l'enregistrement DS chez le registrar
Si votre fournisseur DNS et votre registrar sont différents (par exemple, domaine chez GoDaddy, DNS chez Cloudflare), vous devez ajouter manuellement l'enregistrement DS chez le registrar. L'enregistrement DS est l'ancre de confiance — il relie votre domaine à la signature DNSSEC.
Cloudflare affiche l'enregistrement DS que vous devez saisir chez votre registrar.
Étape 4 : Vérifier la validation
dig +dnssec votre-domaine.com
Si la réponse contient le drapeau ad (Authenticated Data), DNSSEC est actif et validé.
CAA : qui peut émettre des certificats ?
Un enregistrement CAA (RFC 8659) définit quelles autorités de certification peuvent émettre des certificats TLS pour votre domaine :
votre-domaine.com. IN CAA 0 issue "letsencrypt.org"
votre-domaine.com. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— seul Let's Encrypt peut émettre des certificatsissuewild ";"— aucun certificat wildcard de quiconque
3% des domaines de l'UE ont un enregistrement CAA. Les 97% restants font aveuglément confiance à toutes les CA du monde.
Erreurs courantes
1. Activer DNSSEC sans surveillance. Si les signatures DNSSEC expirent (échec de rotation des clés), le domaine devient inaccessible pour tous les résolveurs validant DNSSEC. Assurez-vous que votre fournisseur effectue la rotation des clés automatiquement.
2. Configurer CAA de manière trop stricte. Si vous changez de fournisseur de CA et oubliez de mettre à jour l'enregistrement CAA, le renouvellement du certificat échouera.
3. DANE sans DNSSEC. Les enregistrements DANE/TLSA ne fonctionnent qu'avec DNSSEC — sans la signature, un attaquant peut aussi falsifier l'enregistrement TLSA.
Contexte réglementaire
- NIS2 Art. 21(2) — l'infrastructure DNS fait partie des mesures de cybersécurité pour les réseaux et systèmes d'information
- NIS2 Art. 28 — obligations spécifiques pour les fournisseurs de services DNS et les registres de TLD
- RGPD Art. 32 — le DNS spoofing peut mener au phishing et, par conséquent, à des violations de données
Vérifiez la sécurité de votre DNS
SiteGuardian vérifie la validation DNSSEC, les enregistrements CAA, DANE/TLSA et l'hygiène DNS (transferts de zone ouverts, enregistrements orphelins) :
La semaine prochaine dans la Partie 5 : security.txt — le standard RFC 9116 que l'ANSSI et l'ENISA recommandent et que 97,2% des sites web de l'UE n'ont pas.