Pour garantir une navigation plus sûre sur Internet, des organisations comme le CA/B Forum ont établi des normes à cet effet. Cela permet de s’assurer que nous pouvons communiquer et nous connecter en toute sécurité avec la bonne personne, sur le bon appareil, et échanger des données authentiques.
12 janvier 2026 , de la « Référence relative aux exigences de base pour l’émission et la gestion des certificats de serveur TLS de confiance publique, version 2.2.2 » par le CAB Forum, les autorités de certification commenceront à exiger une validation DNSSEC pour tous les domaines ayant DNSSEC activé à partir du 3 mars 2026 .
Cette politique fait partie de la validation du contrôle de domaine et des vérifications d’autorisation de l’autorité de certification (CAA).
Si vous n’avez pas activé DNSSEC , il est conseillé de le faire afin d’améliorer la sécurité de vos domaines de certificats. Notez qu’il s’agit d’une fonctionnalité optionnelle ; si vous choisissez de ne pas l’activer, vérifiez que DNSSEC n’est pas activé.
Si vous avez activé DNSSEC , vous devez vérifier sa configuration pour tous vos domaines de certificats avant le 3 mars, date d’entrée en vigueur de la validation DNSSEC. Les autorités de certification ont constaté des erreurs lors de la validation DNSSEC des demandes de certificats clients.
Il est important de vérifier si DNSSEC est utilisé, car les renouvellements manuels ou automatiques des certificats TLS échoueront si DNSSEC est mal implémenté ou configuré.
Pour vérifier visuellement l’état DNSSEC de votre domaine, vous pouvez utiliser cet outil :
S’agissant d’un outil tiers, KeyTalk ne peut garantir l’exactitude des informations fournies sur le site web.
En résumé, DNSSEC (Domain Name System Security Extensions) est un ensemble d’extensions de sécurité pour le DNS qui utilisent des signatures numériques et des clés cryptographiques afin de garantir l’authenticité et l’intégrité des données DNS. L’authentification ajoute ainsi une couche de confiance supplémentaire au DNS.
Les serveurs DNS permettent d’associer une adresse IP à un nom de site web. Par exemple, l’adresse IP de keytalk.com est 162.159.134.42. Le protocole DNSSEC empêche la falsification des données DNS, ce qui pourrait entraîner un « empoisonnement du cache » ou une « usurpation d’identité DNS », permettant ainsi à des attaquants de rediriger les utilisateurs vers des sites web malveillants.
DNSSEC renforce la sécurité du système de noms de domaine en intégrant des signatures cryptographiques aux enregistrements DNS. Ces signatures numériques sont gérées par les serveurs de noms DNS, au même titre que les enregistrements classiques (par exemple, A, AAAA, MX). Lorsqu’un enregistrement DNS est demandé, sa signature cryptographique associée est validée. Ce processus confirme que les données proviennent du serveur de noms faisant autorité et qu’elles sont restées intactes lors de leur transmission, empêchant ainsi toute modification malveillante, comme celles tentées lors d’attaques de type « homme du milieu ».
—
Vous souhaitez en savoir plus sur la façon dont KeyTalk peut simplifier et améliorer la gestion de vos certificats numériques grâce à l’automatisation CLM ? Contactez-nous dès aujourd’hui. Vous pouvez nous joindre par e-mail ou via notre page de contact .
Sources :
