Comprendre le DNS et configurer son nom de domaine

L'annuaire invisible d'internet

Vous tapez websentinel.fr dans votre navigateur et la page s'affiche. Derrière cette action simple, un système complexe traduit le nom de domaine en adresse IP que les ordinateurs comprennent. Ce système s'appelle le DNS, pour Domain Name System.

Le DNS fonctionne comme un annuaire téléphonique géant. Vous cherchez un nom, il vous donne un numéro. Sauf qu'au lieu de noms de personnes et de numéros de téléphone, on parle de noms de domaine et d'adresses IP. Et au lieu d'un seul annuaire centralisé, c'est un système distribué avec des millions de serveurs dans le monde entier.

Quand le DNS est bien configuré, vous n'y pensez jamais. Les visiteurs tapent votre nom de domaine et arrivent sur votre site. Les emails envoyés à votre adresse professionnelle arrivent dans votre boîte. Tout fonctionne de façon invisible.

Quand le DNS est mal configuré, rien ne marche. Votre site est inaccessible alors que le serveur fonctionne parfaitement. Les emails rebondissent. Les sous-domaines pointent vers des serveurs qui n'existent plus. Et personne ne comprend pourquoi parce que le DNS est un concept abstrait qui fait peur.

Comprendre les bases du DNS permet de diagnostiquer quatre-vingt-dix pour cent des problèmes qui rendent un site inaccessible. Ça permet aussi de faire des modifications en sachant ce qu'on fait, au lieu de copier-coller des valeurs sans comprendre et de prier pour que ça marche.

Ce qui se passe quand vous tapez une URL

Vous tapez websentinel.fr dans votre navigateur et appuyez sur Entrée. Votre ordinateur ne sait pas où se trouve websentinel.fr. Il doit d'abord convertir ce nom en adresse IP.

Votre ordinateur interroge le serveur DNS configuré dans vos paramètres réseau. C'est généralement celui de votre fournisseur d'accès internet, ou un DNS public comme celui de Google ou Cloudflare. Ce serveur va chercher l'information pour vous.

Le serveur DNS interroge les serveurs DNS autoritaires pour le domaine websentinel.fr. Ce sont les serveurs qui contiennent la configuration DNS officielle du domaine. Ils répondent en donnant l'adresse IP associée au nom websentinel.fr.

Votre ordinateur reçoit cette adresse IP et peut maintenant contacter le serveur web. Il envoie une requête HTTP à cette adresse IP en demandant la page d'accueil. Le serveur répond avec le HTML de la page. Votre navigateur affiche la page.

Tout ce processus prend quelques millisecondes. Il se produit pour chaque nom de domaine différent sur une page web. Si votre page charge des images depuis images.exemple.com, des scripts depuis cdn.exemple.com, et des polices depuis fonts.google.com, il y aura plusieurs résolutions DNS.

Les enregistrements DNS de base

La configuration DNS d'un domaine se compose d'enregistrements. Chaque enregistrement associe un nom à une information. Il existe plusieurs types d'enregistrements pour des usages différents.

L'enregistrement A associe un nom de domaine à une adresse IPv4. C'est l'enregistrement le plus courant. Par exemple, websentinel.fr pointe vers 46.225.62.73. Quand quelqu'un demande websentinel.fr, le DNS répond 46.225.62.73.

L'enregistrement AAAA fait la même chose pour les adresses IPv6. IPv6 est la nouvelle version du protocole internet qui remplace progressivement IPv4. Les adresses sont beaucoup plus longues, comme 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

L'enregistrement CNAME crée un alias. Il dit qu'un nom de domaine est en réalité un autre nom de domaine. Par exemple, www.websentinel.fr peut être un CNAME vers websentinel.fr. Quand quelqu'un demande www.websentinel.fr, le DNS dit de regarder websentinel.fr, qui a un enregistrement A vers 46.225.62.73.

L'enregistrement MX indique les serveurs de mail pour le domaine. Quand quelqu'un envoie un email à contact@websentinel.fr, le serveur d'envoi interroge les enregistrements MX de websentinel.fr pour savoir où délivrer le message.

L'enregistrement TXT contient du texte arbitraire. On l'utilise pour la vérification de propriété du domaine, pour la configuration du SPF qui lutte contre le spam, pour les clés DKIM qui authentifient les emails.

L'enregistrement NS indique quels sont les serveurs DNS autoritaires pour le domaine. C'est ce qui dit où aller chercher la configuration DNS officielle.

La zone DNS et le fichier de zone

Tous les enregistrements DNS d'un domaine forment ce qu'on appelle une zone DNS. Le fichier de zone est le fichier texte qui contient tous ces enregistrements dans un format standardisé.

Vous ne manipulez généralement pas le fichier de zone directement. Les registrars de noms de domaine et les services DNS proposent des interfaces web pour ajouter, modifier et supprimer des enregistrements. En coulisses, ces modifications sont traduites en fichier de zone.

Une zone DNS typique pour un petit site contient une dizaine d'enregistrements. Le domaine nu avec un enregistrement A. Le sous-domaine www avec un CNAME ou un A. Les enregistrements MX pour le mail. Quelques enregistrements TXT pour la vérification et la sécurité mail.

Les gros sites peuvent avoir des centaines d'enregistrements. Des sous-domaines pour différents services, plusieurs serveurs web pour la répartition de charge, des configurations complexes avec des CDN et des proxys.

La propagation DNS et le TTL

Quand vous modifiez un enregistrement DNS, le changement n'est pas instantané partout dans le monde. Les serveurs DNS gardent en cache les réponses pendant un certain temps pour des raisons de performance. Ce temps s'appelle le TTL, pour Time To Live.

Chaque enregistrement DNS a un TTL exprimé en secondes. Un TTL de 3600 signifie une heure. Un serveur DNS qui a interrogé l'enregistrement va garder la réponse en cache pendant une heure avant de redemander.

Si vous changez l'adresse IP d'un enregistrement A avec un TTL d'une heure, certains serveurs DNS continueront à donner l'ancienne adresse pendant une heure maximum. C'est ce qu'on appelle la propagation DNS. Le changement se propage progressivement à mesure que les caches expirent.

En pratique, la propagation complète peut prendre entre quelques minutes et quarante-huit heures. La plupart des serveurs DNS respectent le TTL, mais certains le rallongent pour des raisons de performance. Les TTL très courts comme cinq minutes propagent vite mais génèrent plus de trafic DNS.

Avant un changement important comme une migration de serveur, on baisse le TTL à cinq ou dix minutes quelques jours avant. Comme ça, au moment de faire la modification, la propagation est rapide. Ensuite on peut remonter le TTL à des valeurs plus normales comme une heure ou vingt-quatre heures.

Les erreurs DNS qui cassent tout

L'erreur la plus fréquente est de pointer un enregistrement A vers une mauvaise adresse IP. Vous déplacez votre site vers un nouveau serveur, vous mettez à jour l'enregistrement A, mais vous vous trompez d'un chiffre dans l'IP. Le site devient inaccessible jusqu'à ce que vous corrigiez.

Utiliser un CNAME pour le domaine racine est techniquement problématique. Beaucoup de services DNS l'interdisent ou le déconseillent fortement. Si vous voulez que exemple.com et www.exemple.com pointent vers le même endroit, faites deux enregistrements A ou utilisez une redirection au niveau du serveur web.

Supprimer les enregistrements MX casse le mail. Si vous migrez votre site vers un nouvel hébergeur et que vous écrasez toute la zone DNS sans copier les enregistrements MX, vous ne recevrez plus d'emails. Ils rebondiront avec une erreur "no MX record found".

Les enregistrements contradictoires créent un comportement imprévisible. Avoir à la fois un enregistrement A et un CNAME pour le même nom ne devrait pas se faire. Certains serveurs DNS renverront l'un, d'autres l'autre, et le comportement sera différent selon l'endroit du monde.

Oublier le point final dans certaines configurations peut créer des noms de domaine incorrects. Dans le fichier de zone brut, un nom sans point final à la fin est considéré comme relatif à la zone. C'est rarement un problème avec les interfaces web modernes, mais ça peut arriver.

Changer de serveurs DNS

Quand vous achetez un nom de domaine, il est configuré par défaut pour utiliser les serveurs DNS du registrar. C'est suffisant pour la plupart des usages. Mais vous pouvez choisir d'utiliser des serveurs DNS externes.

Cloudflare propose un service DNS gratuit très performant. Vous déléguez votre domaine aux serveurs DNS de Cloudflare, vous configurez vos enregistrements dans leur interface, et ils servent les réponses DNS avec leurs serveurs rapides répartis dans le monde entier.

Amazon Route 53, Google Cloud DNS, Azure DNS sont les services DNS des grands clouds. Ils offrent des fonctionnalités avancées comme le DNS géolocalisé, le basculement automatique, les health checks.

Pour changer de serveurs DNS, vous modifiez les enregistrements NS chez votre registrar. Vous indiquez les nouveaux serveurs DNS autoritaires. Ensuite vous configurez vos enregistrements A, CNAME, MX sur le nouveau service DNS.

Attention, changer de serveurs DNS peut prendre du temps à propager. Comme pour les autres enregistrements, les anciens serveurs NS sont gardés en cache. Il faut parfois attendre quarante-huit heures pour que tout le monde utilise les nouveaux serveurs.

Vérifier et diagnostiquer le DNS

L'outil dig permet d'interroger le DNS depuis la ligne de commande. Sur Linux et Mac, il est installé par défaut. dig websentinel.fr renvoie les enregistrements A. dig websentinel.fr MX renvoie les enregistrements MX.

L'outil nslookup fait à peu près la même chose et existe sur Windows par défaut. nslookup websentinel.fr interroge le DNS et affiche les résultats.

Les outils en ligne comme MXToolbox, DNSChecker, WhatsMyDNS permettent de vérifier les enregistrements depuis plusieurs endroits dans le monde. C'est utile pour vérifier la propagation après un changement.

La commande ping peut servir de vérification rapide. ping websentinel.fr affiche l'adresse IP résolue avant de commencer à envoyer des paquets. Si l'IP est correcte, le DNS fonctionne au moins pour cette requête.

Les outils de développement des navigateurs montrent les temps de résolution DNS. Dans l'onglet Network, chaque requête affiche un détail du temps passé en DNS lookup, connexion, envoi, réception. Si le DNS lookup prend plusieurs secondes, il y a un problème.

Le DNS et les performances

Chaque résolution DNS prend du temps. Pour une page web qui charge des ressources depuis dix domaines différents, il faut faire dix résolutions DNS. Si chaque résolution prend cent millisecondes, ça fait une seconde perdue avant même de commencer à télécharger quoi que ce soit.

Les navigateurs gardent un cache DNS pour limiter les requêtes. Si vous visitez plusieurs pages d'un même site, le navigateur ne résout le domaine qu'une fois. Le cache dure généralement quelques minutes.

Utiliser un CDN qui regroupe toutes les ressources tierces sous un ou deux domaines réduit le nombre de résolutions DNS. Au lieu de charger des scripts depuis google.com, facebook.com, analytics.com, tout vient de cdn.exemple.com.

Les serveurs DNS géographiquement proches répondent plus vite. C'est pour ça que les services DNS modernes comme Cloudflare ont des serveurs dans le monde entier. Votre requête est servie par le serveur le plus proche de vous.

Le préchargement DNS permet au navigateur de résoudre des domaines avant qu'ils soient nécessaires. Vous pouvez ajouter des balises link rel dns-prefetch dans votre HTML pour dire au navigateur de résoudre certains domaines dès le chargement de la page.

Les cas d'usage avancés

Le DNS géolocalisé renvoie des réponses différentes selon l'endroit d'où vient la requête. Si un visiteur européen demande exemple.com, il reçoit l'IP du serveur européen. Un visiteur américain reçoit l'IP du serveur américain. Ça réduit la latence.

Le DNS pondéré permet de répartir le trafic entre plusieurs serveurs. L'enregistrement DNS liste plusieurs adresses IP avec des poids différents. Soixante-dix pour cent du trafic va vers le serveur A, trente pour cent vers le serveur B.

Le DNS avec health check ne renvoie que les adresses de serveurs en bonne santé. Si un serveur tombe, le DNS cesse de le renvoyer automatiquement. Le trafic bascule sur les serveurs restants sans intervention humaine.

Les sous-domaines wildcard créent automatiquement des enregistrements pour tous les sous-domaines possibles. *.exemple.com pointe vers 1.2.3.4 signifie que n'importe quel sous-domaine de exemple.com résoudra vers cette IP. C'est utile pour certaines architectures applicatives.

La sécurité DNS

Le DNS classique n'est pas chiffré. Votre fournisseur d'accès ou n'importe qui sur le réseau peut voir quels domaines vous résolvez. Ça révèle quels sites vous visitez même si le HTTPS chiffre le contenu.

DNS over HTTPS et DNS over TLS chiffrent les requêtes DNS. Les navigateurs et systèmes d'exploitation récents supportent ces protocoles. Cloudflare, Google et d'autres proposent des serveurs DNS qui supportent le chiffrement.

DNSSEC ajoute une signature cryptographique aux réponses DNS. Ça permet de vérifier que la réponse vient vraiment du serveur autoritaire et n'a pas été modifiée en route. DNSSEC protège contre le DNS spoofing et le cache poisoning.

La mise en place de DNSSEC est complexe et tous les registrars ne le supportent pas. Pour un petit site, le bénéfice est limité. Pour des sites critiques ou des infrastructures sensibles, ça peut se justifier.

Par où commencer pour maîtriser le DNS

Connectez-vous à l'interface de gestion DNS de votre domaine. Regardez les enregistrements existants. Identifiez l'enregistrement A de votre site, les enregistrements MX de votre mail, les enregistrements TXT.

Utilisez dig ou nslookup pour interroger votre domaine. Comparez les résultats avec ce que vous voyez dans l'interface de gestion. Vérifiez que les valeurs correspondent.

Testez un changement simple. Ajoutez un enregistrement A pour un sous-domaine de test. Attendez quelques minutes et vérifiez avec dig que le changement est visible. Supprimez l'enregistrement ensuite.

Si vous devez faire un changement important, planifiez-le. Baissez le TTL quelques jours avant. Préparez les nouvelles valeurs. Faites le changement à un moment où le trafic est faible. Vérifiez immédiatement que tout fonctionne.

Le DNS n'est pas compliqué une fois qu'on comprend les concepts de base. C'est juste un système d'annuaire distribué. Un nom pointe vers une valeur. Cette association est servie par des serveurs autoritaires et mise en cache partout. Quand vous changez l'association, il faut attendre que les caches expirent.

Maîtriser ces bases permet de résoudre la majorité des problèmes DNS sans avoir besoin d'appeler un technicien à chaque fois.