Vérificateur DNSSEC
Vérifiez si DNSSEC est activé et correctement validé pour un domaine. Vérifie l'indicateur AD (Authenticated Data), les enregistrements DNSKEY et DS, et l'algorithme utilisé. Détecte les chaînes DNSSEC cassées ou manquantes.
Comment utiliser Vérificateur DNSSEC
- 1Entrez votre nom de domaine (par exemple, example.com).
- 2L'outil interroge les résolveurs DNS avec la validation DNSSEC activée.
- 3Les enregistrements DNSKEY et DS sont récupérés et l'indicateur AD (Authenticated Data) est vérifié.
- 4Une note de A à F reflète votre configuration DNSSEC — A signifie complètement validé, F signifie manquant ou cassé.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Qu'est-ce que DNSSEC et pourquoi est-il important ?▾
DNSSEC (DNS Security Extensions) ajoute des signatures cryptographiques aux enregistrements DNS, empêchant les attaquants de falsifier des réponses DNS. Sans DNSSEC, un attaquant sur le chemin réseau peut rediriger votre domaine vers un serveur malveillant (attaque d'empoisonnement du cache DNS). DNSSEC crée une chaîne de confiance de la zone racine ICANN jusqu'à votre domaine.
Qu'est-ce que l'indicateur AD et que signifie-t-il ?▾
AD signifie « Authenticated Data ». Lorsqu'un résolveur validant DNSSEC (comme Cloudflare 1.1.1.1 ou Google 8.8.8.8) vérifie avec succès toutes les signatures DNSSEC dans la chaîne de confiance pour une réponse DNS, il définit le bit AD dans la réponse. Un résultat AD=true signifie qu'un résolveur validant a confirmé l'authenticité de la réponse.
Quelle est la différence entre les enregistrements DNSKEY et DS ?▾
Les enregistrements DNSKEY vivent dans votre zone et contiennent les clés publiques utilisées pour signer vos enregistrements DNS. Il y a deux types : KSK (Key Signing Key, flags=257) qui signe d'autres enregistrements DNSKEY, et ZSK (Zone Signing Key, flags=256) qui signe vos enregistrements DNS réels. Les enregistrements DS (Delegation Signer) vivent dans la zone parente et forment le lien qui connecte les zones parent et enfant.
Mon domaine a des DNSKEY mais pas de DS — DNSSEC fonctionne-t-il ?▾
Non. Si les enregistrements DNSKEY sont publiés mais que les enregistrements DS ne sont pas enregistrés auprès de votre registraire, la chaîne de confiance DNSSEC est rompue. Pour compléter DNSSEC : (1) Générez des enregistrements DNSKEY chez votre fournisseur DNS autoritaire, (2) Obtenez le hachage de l'enregistrement DS, (3) Soumettez l'enregistrement DS à votre registraire de domaine.
Quel algorithme DNSSEC devrais-je utiliser ?▾
Algorithmes recommandés par ordre de préférence : Ed25519 (algorithme 15) — le plus rapide, les plus petites clés, le plus moderne ; ECDSA P-256/SHA-256 (algorithme 13) — largement pris en charge, bonne sécurité ; RSA/SHA-256 (algorithme 8) — très compatible mais clés plus grandes. Évitez RSA/MD5 (1), RSA/SHA-1 (5) et les algorithmes DSA (3, 6, 7) — dépréciés ou cryptographiquement faibles.