Guide d'installation DNSSEC pour DNScale — Pas a pas

Ce guide vous accompagne dans l'activation de DNSSEC sur une zone DNScale, la publication de l'enregistrement DS chez votre registrar, la verification de la chaine de confiance et le traitement des modes de defaillance les plus courants. Si vous voulez d'abord le contexte conceptuel, lisez Qu'est-ce que DNSSEC ? et Comment fonctionne DNSSEC.

Avant de commencer

Confirmez trois choses :

1. Votre zone est deleguee a DNScale. Les enregistrements NS chez votre registrar pointent vers les serveurs DNScale, et dig NS votredomaine @1.1.1.1 renvoie le set DNScale. Si vous n'avez pas encore migre, faites-le d'abord — voir Delegation DNS pour les regions DNScale.
2. Votre TLD prend en charge DNSSEC. Tous les gTLD (.com, .net, .org, etc.) et la plupart des ccTLD (.de, .fr, .nl, .eu, .uk) prennent en charge DNSSEC depuis des annees. Une poignee de TLD plus anciens ou plus petits ne le font pas — verifiez le rapport TLD IANA en cas de doute.
3. Votre registrar prend en charge la publication DS. La plupart des registrars majeurs le font. Si le votre ne le fait pas, vous devrez soit transferer le domaine a un registrar capable de DNSSEC, soit accepter que DNSSEC ne soit pas disponible pour ce domaine.

Etape 1 — Activer DNSSEC dans DNScale

Depuis le tableau de bord

1. Ouvrez votre zone dans le tableau de bord DNScale.
2. Cliquez sur l'onglet Securite (ou DNSSEC selon la version).
3. Cliquez sur Activer DNSSEC. DNScale genere une nouvelle CSK avec ECDSA P-256 et commence a signer la zone. Cela prend quelques secondes.
4. Le tableau de bord affiche l'enregistrement DS a publier chez votre registrar :

example.com.   86400   IN   DS   12345 13 2 7c89aa1f3e7b4d8b...

Notez les quatre champs : Tag de cle (12345), Algorithme (13 = ECDSA P-256), Type de digest (2 = SHA-256), Digest (la chaine hex). Les UI de registrars demandent ces champs dans des combinaisons differentes — la plupart demandent les quatre ; certains la chaine d'enregistrement DS complete ; quelques-uns calculent eux-memes le digest et ne demandent que la cle publique DNSKEY.

Via l'API DNScale

curl -X POST "https://api.dnscale.eu/v1/zones/{zone_id}/dnssec/enable" \
  -H "Authorization: Bearer YOUR_API_KEY" \
  -H "Content-Type: application/json"

La reponse contient les champs DS dont vous aurez besoin chez le registrar :

{
  "enabled": true,
  "ds_records": [
    {
      "key_tag": 12345,
      "algorithm": 13,
      "digest_type": 2,
      "digest": "7c89aa1f3e7b4d8b..."
    }
  ]
}

Avec Terraform

resource "dnscale_zone_dnssec" "example" {
  zone_id   = dnscale_zone.example.id
  enabled   = true
}

Apres terraform apply, la ressource expose les champs DS comme outputs que vous pouvez transmettre a un provider registrar (si votre registrar est gere par Terraform) ou capturer pour saisie manuelle.

Avec DNSControl

D("example.com", DNSCALE,
  AUTODNSSEC_ON,
  // ... vos enregistrements
);

La directive AUTODNSSEC_ON de DNSControl declenche la signature cote provider DNScale. L'enregistrement DS devient disponible dans la sortie de dnscontrol get-zones.

Etape 2 — Publier l'enregistrement DS chez votre registrar

C'est la seule etape manuelle que le fournisseur DNS ne peut pas (encore) faire pour vous — voir l'automatisation CDS/CDNSKEY plus bas. L'UI exacte varie selon le registrar ; voici les plus courantes.

Modele generique

La plupart des tableaux de bord registrars ont une section DNSSEC ou DNS avance par domaine. Typiquement :

1. Cliquez sur Ajouter un enregistrement DS.
2. Saisissez les quatre champs : Tag de cle, Algorithme, Type de digest, Digest.
3. Enregistrez.

Certains registrars demandent la chaine complete d'enregistrement DS (par ex. 12345 13 2 7c89aa1f...) — collez la ligne entiere. D'autres vous laissent coller la cle publique DNSKEY et calculent le DS eux-memes — les deux fonctionnent ; utilisez ce que le registrar prefere.

Cloudflare Registrar

Domain → DNS → DNSSEC → Activer → Ajouter un enregistrement DS. Collez les quatre champs. Cloudflare publie le DS au TLD en quelques minutes.

Gandi

Domains → votre domaine → DNSSEC → Ajouter une cle. Collez les champs ; Gandi publie typiquement en 30 minutes.

Namecheap

Domain List → Manage → Advanced DNS → DNSSEC → Add Key. Collez les champs et enregistrez.

OVH

Domaine → DNSSEC → Ajouter → Activer DNSSEC. Collez les champs. OVH propage en 30 minutes pour la plupart des TLD.

IONOS / 1&1

Domaine → SSL & DNSSEC → DNSSEC → Activer → Ajouter un enregistrement. Collez les champs. IONOS publie typiquement en une heure.

GoDaddy

Domaine → DNS → DNSSEC. Ajouter une cle. Collez les champs. La duree de publication varie ; comptez 24–48 heures.

Domaine chez un registry direct

Certaines registries ccTLD (par ex. DK Hostmaster, Internet Foundation .ee) acceptent les enregistrements DS directement via interface web ou EPP. Le registrar les transmettrait normalement — sinon, contactez le support du registry.

Etape 3 — Verifier la chaine bout en bout

Une fois le DS publie, verifiez que la chaine fonctionne a chaque maillon. La commande unique la plus fiable :

dig +dnssec example.com @1.1.1.1

Cherchez deux choses dans la reponse :

1. Le drapeau AD dans l'en-tete — ;; flags: qr rd ra ad; — confirme que le resolveur a valide la chaine avec succes.
2. Les enregistrements RRSIG dans la section reponse, associes a chaque enregistrement de donnees.

Si le drapeau AD manque mais que des RRSIG sont presents, le resolveur ne valide pas (essayez 8.8.8.8 ou 9.9.9.9). Si les RRSIG manquent, la signature n'a pas pris effet — re-verifiez l'etape 1.

Verifier le DS au parent

dig DS example.com @a.gtld-servers.net.

Pour .com, interrogez les serveurs gTLD directement. Pour les autres TLD, trouvez les NS du parent via dig NS .com @a.root-servers.net. ou utilisez dig +trace. Reponse attendue : votre enregistrement DS, exactement tel que soumis.

Si le DS n'apparait pas chez le parent dans les 48 heures, contactez votre registrar — la publication a probablement echoue.

Utiliser un visualiseur

Pour une image complete, le visualiseur DNSViz dessine toute la chaine de la racine a votre zone et signale les ruptures. Le Verisign DNSSEC Debugger fait la meme chose dans une presentation differente.

Etape 4 — Tester depuis plusieurs resolveurs

Les resolveurs cachent differemment et deploient les mises a jour a des rythmes differents. Apres la verification initiale, interrogez depuis au moins trois :

dig +dnssec example.com @1.1.1.1     # Cloudflare
dig +dnssec example.com @8.8.8.8     # Google
dig +dnssec example.com @9.9.9.9     # Quad9

Si les trois montrent le drapeau AD, votre deploiement DNSSEC atteint la flotte de resolveurs publics.

Modes de defaillance courants et comment recuperer

Le DS chez le registrar ne correspond pas au DNSKEY

Symptome : dig +dnssec votredomaine renvoie SERVFAIL. DNSViz montre un lien rouge entre le DS du parent et votre DNSKEY.

Cause : Mauvais digest, mauvais algorithme ou mauvais tag de cle saisi chez le registrar.

Correction : Recuperer le DS correct depuis le tableau de bord DNScale. Mettre a jour chez le registrar. Attendre la propagation TLD. Si l'UI du registrar n'accepte pas votre edition, retirez d'abord le DS errone et re-ajoutez.

Plusieurs DS perimes chez le registrar

Symptome : La validation fonctionne par intermittence — certains resolveurs marquent AD la reponse, d'autres SERVFAIL.

Cause : Une activation DNSSEC precedente a laisse de vieux DS qui ne correspondent plus a aucune DNSKEY actuelle.

Correction : Chez le registrar, retirez chaque DS qui n'apparait pas dans la liste DS DNScale actuelle. Gardez seulement le DS de la KSK actuellement active.

Le TLD n'accepte pas le DS

Symptome : L'UI du registrar rejette le DS ou l'affiche comme "en attente" indefiniment.

Cause : Le TLD ne prend pas encore en charge DNSSEC (tres rare en 2026), ou il y a un retard cote registry.

Correction : Verifiez le rapport TLD IANA sur le statut DNSSEC. Si non pris en charge, vous ne pouvez pas activer DNSSEC pour ce domaine ; envisagez le transfert vers un TLD qui le prend en charge. Si pris en charge mais bloque, contactez le support registrar.

La signature a ete desactivee avant que le DS soit retire

Symptome : Le domaine renvoie SERVFAIL depuis les resolveurs validants ; les resolveurs non validants resolvent encore normalement.

Cause : Ordre des operations errone — l'enregistrement DS chez le parent pointe maintenant vers une cle qui n'existe plus dans votre zone.

Correction : Soit re-activer DNSSEC dans DNScale (ce qui restaure la signature avec les memes tags de cle si possible), soit retirer le DS chez le registrar. L'ordre correct pour une desactivation permanente est : retirer DS → attendre 48h → desactiver la signature.

Reponses negatives pre-cachees persistent

Symptome : Apres correction d'une mauvaise configuration DNSSEC, certains utilisateurs voient encore SERVFAIL pendant un moment.

Cause : Les resolveurs validants cachent les echecs de validation (typiquement jusqu'a 5 minutes). Les resolveurs publics implementant RFC 8767 (stale-data serving) peuvent garder les echecs perimes plus longtemps.

Correction : Attendez. Les echecs caches expirent ; rien de votre cote ne change le timing. Verifier depuis un resolveur recursif different (dig +dnssec votredomaine @1.0.0.1 au lieu de @1.1.1.1) confirme si l'etat sous-jacent est maintenant bon.

Optionnel : Automatiser le DS via CDS/CDNSKEY

RFC 7344 et RFC 8078 definissent les enregistrements CDS et CDNSKEY — enregistrements cote enfant qui indiquent au parent quels DS publier. Un registrar qui prend en charge le scanning CDS/CDNSKEY peut recuperer les changements DS automatiquement sans saisie manuelle.

Le support est inegal :

• ✅ Cloudflare Registrar — automatisation CDS complete
• ✅ Gandi — prend en charge CDS pour certains TLD
• ⚠️ La plupart des autres — gestion DS manuelle encore
• ❌ Quelques registrars legacy — aucun support DNSSEC du tout

DNScale publie automatiquement les enregistrements CDS et CDNSKEY quand DNSSEC est active. Si votre registrar prend en charge le scanning CDS, aucune saisie DS manuelle n'est necessaire — les rotations DS pendant le rollover de cles se font sans votre intervention.

Que se passe-t-il ensuite — Operations automatiques

Une fois DNSSEC active sur une zone DNScale :

• Les signatures se rafraichissent en continu. Les RRSIG sont re-signes avant expiration ; les resolveurs voient des signatures fraiches a chaque requete.
• La rotation des cles se produit selon un planning. La ZSK roule plus souvent (quand separee de la KSK) ; la KSK roule rarement (tous les quelques annees). Avec CSK (le defaut), les rotations impliquent le registrar — DNScale vous notifie quand une action registrar est necessaire.
• Les mises a niveau d'algorithme sont des rolls coordonnes. Si l'industrie evolue (par ex. vers Ed25519), DNScale execute une rotation d'algorithme sans interruption des donnees de zone.
• Mises a jour des enregistrements DS lors de la rotation : avec l'automatisation CDS, le DS du parent est mis a jour sans votre intervention ; sans elle, DNScale vous notifie qu'un nouveau DS doit etre publie.

Vous ne devriez pas avoir a repenser a DNSSEC apres la configuration initiale — jusqu'a ce que vous decidiez de migrer ou que l'UX du registrar change.

References

• RFC 4033/4034/4035 — specification noyau DNSSEC
• RFC 7344 — Automating DNSSEC delegation trust maintenance (CDS/CDNSKEY)
• RFC 8078 — Managing DS records from the parent via CDS/CDNSKEY
• RFC 8901 — Modeles DNSSEC multi-signataires (pour deploiements multi-fournisseurs)
• Points d'ancrage de confiance racine IANA
• Visualiseur DNSViz
• Verisign DNSSEC Debugger

Lectures complementaires

• Qu'est-ce que DNSSEC ? — introduction haut de l'entonnoir
• Comment fonctionne DNSSEC — mecanique KSK/ZSK/DS/DNSKEY
• Gestion des cles DNSSEC — procedures operationnelles de rotation
• Deploiement DNS multi-fournisseurs — ajouter un second fournisseur DNS en toute securite avec DNSSEC
• Delegation DNS pour les regions DNScale — pointer votre zone vers DNScale avant d'activer DNSSEC
• Empoisonnement de cache DNS — l'attaque que DNSSEC contre
• NIS2 et conformite DNS — DNSSEC comme controle reglementaire