DNSSEC

Protégez vos noms de domaine contre les attaques par usurpation
DNSSEC

Pourquoi choisir DNSSEC avec OVHcloud

Face aux attaques par empoisonnement de cache DNS, qui peuvent rediriger vos visiteurs vers des sites frauduleux à leur insu, DNSSEC protège l'intégrité et l'authenticité des réponses DNS de vos noms de domaine en garantissant que chaque réponse transmise est bien signée et vérifiable.
Padlock Secured.svg
Protection contre l'usurpation DNS
Bandwitdth.svg
Réponses DNS authentifiées
Accuracy.svg
Sécurité DNS activée par défaut

Garantissez l'authenticité de chaque réponse DNS

Noms de domaineSécurité réseau
Lorsqu'une requête DNS est émise pour accéder à votre site web, le navigateur la transmet à un serveur récursif. Sans DNSSEC, cette requête peut être interceptée et falsifiée, redirigeant vos visiteurs vers un site frauduleux. DNSSEC utilise la cryptographie asymétrique pour signer numériquement chaque enregistrement DNS. Le serveur récursif vérifie cette signature à l'aide de la clé publique de la zone, garantissant que la réponse correspond bien à la demande initiale et que les données transmises n'ont pas été altérées.
Integration.png

Profitez de DNSSEC activé par défaut sur vos noms de domaine

Configuration DNSGestion centralisée

Dès l'enregistrement de votre nom de domaine chez OVHcloud, DNSSEC est automatiquement actif : vos enregistrements DNS sont signés avec des clés cryptographiques robustes, conformes aux standards du protocole, sans qu'aucune intervention technique ne soit requise. Depuis votre espace client OVHcloud, vous conservez néanmoins la main sur cette option et pouvez ajuster la configuration selon vos besoins. OVHcloud vous recommande de maintenir DNSSEC actif afin de garantir durablement l'intégrité de vos échanges et la confiance de vos visiteurs.
Hosting - MultiSite - B.png

Appuyez-vous sur une chaîne de confiance éprouvée pour sécuriser vos zones DNS

Protocole DNSSECSécurité des données
Quand un visiteur accède à votre site, son navigateur reçoit une réponse DNS accompagnée d'une signature numérique (RRSIG), vérifiable à l'aide d'une clé publique (DNSKEY). Cette vérification ne s'arrête pas à votre nom de domaine : elle remonte de niveau en niveau jusqu'aux serveurs racine gérés par l'ICANN, chaque maillon certifiant la fiabilité du suivant grâce à un enregistrement de délégation (Delegation Signer ou DS). Vos visiteurs ont ainsi la garantie que les données reçues sont authentiques et n'ont pas été altérées par un intermédiaire malveillant.
Domain C.png
Pour un site e-commerce, une redirection frauduleuse peut suffire à détourner des transactions, exposer les données de paiement de vos clients et durablement entamer la confiance dans votre marque. En validant de manière cryptographique chaque requête DNS, DNSSEC garantit que vos visiteurs atteignent toujours votre plateforme légitime, même en cas de tentative d'empoisonnement du cache sur les serveurs de résolution intermédiaires.

Quand un enregistrement MX (Mail Exchanger), qui indique aux serveurs internet où acheminer vos e-mails, est corrompu ou usurpé, vos communications professionnelles peuvent être silencieusement détournées vers des serveurs malveillants, sans que l'expéditeur ni le destinataire ne s'en aperçoivent. En certifiant l'authenticité de l'ensemble de vos enregistrements DNS, y compris les enregistrements TXT utilisés pour SPF (protection contre l'usurpation d'expéditeur) ou DKIM (signature cryptographique des e-mails), DNSSEC ferme cette porte d'entrée et préserve l'intégrité de vos flux de messagerie professionnelle.

Dans les secteurs régulés comme la finance, la santé ou les services publics, l'intégrité des échanges numériques constitue une exigence autant technique que légale. En garantissant que chaque réponse DNS est authentique et non altérée, DNSSEC contribue à la sécurité globale de vos infrastructures et réduit le risque d'incidents liés à des redirections malveillantes, un argument de poids dans le cadre d'audits de conformité ou de certifications de sécurité.
Pour un site e-commerce, une redirection frauduleuse peut suffire à détourner des transactions, exposer les données de paiement de vos clients et durablement entamer la confiance dans votre marque. En validant de manière cryptographique chaque requête DNS, DNSSEC garantit que vos visiteurs atteignent toujours votre plateforme légitime, même en cas de tentative d'empoisonnement du cache sur les serveurs de résolution intermédiaires.

Nom de domaine .eu

7,49 €

HT/an

8,99 € TTC/an

Nom de domaine .com

7,99 €

HT/an

9,59 € TTC/an

Nom de domaine .dev

11,89 €

HT/an

14,27 € TTC/an

DNSSEC : Vos questions sur la protection DNS des noms de domaine

Qu'est-ce que DNSSEC et comment protège-t-il vos domaines ?

DNSSEC (Domain Name System Security Extensions) est un protocole qui vise à sécuriser le système de noms de domaine en ajoutant une couche de cryptographie asymétrique. Il permet de vérifier l'authenticité des réponses DNS grâce à des signatures numériques, empêchant ainsi les attaques par usurpation du cache. Chaque enregistrement DNS est signé avec une clé privée, et les résolveurs valident cette signature à l'aide de la clé publique correspondante.

DNSSEC est-il suffisant pour sécuriser l'ensemble de mon infrastructure DNS ?

DNSSEC protège l'intégrité des réponses DNS, mais ne couvre pas l'ensemble du périmètre de sécurité d'une infrastructure. Il ne chiffre pas les communications, ne remplace pas un certificat SSL/TLS et ne protège pas contre les attaques applicatives. Pour une sécurité complète, DNSSEC s'utilise en complément d'autres mesures : certificat SSL, filtrage des e-mails (SPF, DKIM), et surveillance des enregistrements DNS.

Comment activer DNSSEC pour mon domaine chez OVHcloud ?

L'option DNSSEC est activée par défaut sur votre domaine OVHcloud. Retrouvez l'option dans votre espace client et accédez à la rubrique Noms de domaine. Sélectionnez le domaine concerné, puis rendez-vous dans l'onglet DNSSEC. Vous verrez l'option activée.

DNSSEC est-il compatible avec tous les types d'enregistrements DNS ?

DNSSEC est compatible avec la plupart des types d'enregistrements DNS, y compris les enregistrements A, MX, TXT, CNAME et NS, chacun étant signé individuellement pour en garantir l'authenticité. OVHcloud prend également en charge les enregistrements propres au protocole : RRSIG (signatures), DNSKEY (clés publiques) et DS (délégation sécurisée).

Comment désactiver DNSSEC si besoin ?

Si vous devez désactiver DNSSEC, rendez-vous dans votre espace client OVHcloud, section Noms de domaine. Sélectionnez le domaine concerné et accédez à l'onglet DNSSEC. Cliquez sur Désactiver : OVHcloud supprime alors les signatures et les clés associées à votre zone. Cette opération peut prendre quelques heures pour se propager sur internet. Notez que la désactivation de DNSSEC expose votre domaine aux risques d'attaques par usurpation du cache.