Noms de domaines et DNS
Ce cours est distribué gratuitement sous licence CC BY-NC-SA 4.0 par Thibaud FRICHET - formation.tfrichet.fr
Prérequis :
- Fondamentaux réseaux : adressage IP, ports, etc.
Noms de domaine
Introduction
Un nom de domaine est une adresse lisible par l'humain, traduisant une adresse IP.
Quelques exemples : tfrichet.fr, formation.tfrichet.fr, etc.
ccTLD et gTLD
ccTLD : extensions de pays
Les country-code Top-Level Domain ou ccTLD sont gérés par des registres nationaux (par exemple l'Afnic pour la France) et sont toujours composés de 2 lettres.
Quelques exemples : .fr (France), .us (États-Unis), .de (Allemagne)
Voir la liste complète sur : https://fr.wikipedia.org/wiki/ISO_3166-1#Table_de_codage
gTLD : extensions génériques
Les gTLD pour generic Top-Level Domain sont composés de 3 lettres ou plus : .com, .org, .net.
- Gérés par des registres accrédités par l’ICANN.
- Peuvent être ouverts, ciblés ou semi-fermés.
- Inclus les
new gTLDdepuis 2013 :.paris,.info,.tech,.space, etc.
Autorités de gestion
ICANN
Internet Corporation for Assigned Names and Numbers
- Statut : Organisation internationale à but non lucratif.
- Mission : Coordonne les "identifiants uniques" d'Internet (noms de domaine, adresses IP, protocoles).
- Autorité : Supervise la gestion globale du système des noms de domaine (DNS) et attribue l'autorité aux registres nationaux pour chaque extension.
- Enjeux : Garantit la stabilité, la sécurité et l'unicité d'Internet à l'échelle mondiale.
AFNIC
Association Française pour le Nommage Internet en Coopération
- Statut : Association loi 1901, missionnée par l'État.
- Mission : Gère les noms de domaine et extensions françaises :
.fr,.re,.pm,.yt,.wf,.tf - Autorité : Délégation de l’ICANN et de l’État français pour administrer les noms de domaine nationaux.
- Enjeux : Propose un Internet fiable et accessible pour les acteurs français.
En résumé, l'ICANN régule le système mondial des noms de domaine, alors que l'AFNIC administre principalement les domaines français sous la supervision et la délégation de l’ICANN et des autorités françaises.
Quelques règles
ccTLD
- Chaque pays définit ses propres règles.
- L'ICANN n’a aucune autorité sur les ccTLD.
- Les ccTLD dépendent de la législation de leur pays.
Attention à l'usage détourné, par exemple : .tv (Tuvalu), .me (Monténégro), .co (Colombie).
Attribution des gTLD
Il existe plusieurs types de gTLD : ouverts, ciblés ou semi-fermés.
gTLD ouverts
Ce sont des extensions de domaine accessibles à tous, sans restriction particulière.
Exemples : .com, .net, .info, .org, etc.
Tout le monde peut enregistrer un domaine sous ces gTLD, particuliers comme entreprises, sans justifier d'une activité ou un statut.
gTLD ciblés
Ce sont des extensions liées à un thème, une profession, une activité ou une communauté.
Elles sont soumises à des règles d'attribution plus ou moins strictes et sont ouvertes à l'ensemble des acteurs liés à ce thème, parfois avec des restrictions modérées (auto-déclaration ou preuve d'activité).
Exemples :
.bank(réservé aux institutions bancaires).pharmacy(réservé aux pharmacies).museum(réservé aux musées)
gTLD semi fermés
Ces extensions ne sont accessibles qu'à certaines organisations avec des conditions d’attribution strictes.
Exemples :
.aero: industrie aéronautique.bnpparibas.sony.gov: administration américaine
Protocole DNS
Le DNS (Domain Name System) est un système hiérarchique et distribué permettant de résoudre les noms de domaine en adresses IP.
Caractéristiques
- Port :
UDP 53TCP 53 - Propagation DNS : Lorsqu'un enregistrement est modifié, la mise à jour peut prendre de quelques minutes à 48 heures selon le
TTLdéfini. - Serveurs racine : 13 ensembles de serveurs (A à M) qui orientent les requêtes vers les serveurs de domaine de premier niveau (TLD) comme
.com,.fr, etc.
Serveurs DNS : FAI et alternatifs
Les FAI proposent leurs propres serveurs DNS à leurs abonnés.
Ces serveurs sont souvent configurés automatiquement sur les box ou routeurs.
Si ils sont généralement à proximité géographique de l'abonné, ils peuvent parfois être filtrés ou limités.
Un DNS menteur fournit volontairement de fausses informations de résolution de noms de domaine, par exemple pour bloquer l'accès à certains sites ou rediriger vers des pages spécifiques.
Ce type de manipulation est utilisé par des FAI ou des gouvernements pour censurer ou filtrer le contenu en ligne.
Il existe des serveurs DNS alternatifs, tels que Google DNS 8.8.8.8, Cloudflare 1.1.1.1, Quad9 9.9.9.9, etc.
Zone DNS
Une zone DNS contient les enregistrements associés à un domaine ou un sous-domaine. Elle est gérée par un serveur faisant autorité.
Champs principaux
| Type | Description | Exemple |
|---|---|---|
| A | Associe un nom de domaine à une adresse IPv4 | formation.tfrichet.fr. IN A 51.68.45.52 |
| AAAA | Associe un nom de domaine à une adresse IPv6 | starwars.com. IN AAAA 2600:1408:c400:e::17cd:6a08 |
| CNAME | Alias d’un autre nom de domaine | www.tfrichet.fr. IN CNAME tfrichet.fr. |
| TXT | Texte libre, souvent utilisé pour SPF ou autre (vérification Google par exemple) | |
| NS | Serveurs DNS faisant autorité | tfrichet.fr. IN NS dns12.ovh.net. |
Champs emails
| Type | Description | Exemple |
|---|---|---|
| MX | Serveurs de messagerie | example.com. IN MX 10 mail.example.com. |
| SPF | Spécifie les serveurs autorisés à envoyer des emails | TXT "v=spf1 a: include:_spf.protonmail.ch ~all" |
| DKIM | Clé publique pour la signature des emails | default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIB..." |
| DMARC | Politique de traitement des emails non conformes | _dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com" |
Voir la liste complète :
https://help.ovhcloud.com/csm/fr-dns-zone-records?id=kb_article_view&sysparm_article=KB0063452
Certification et registars
Certification
Les échanges sur Internet sont sécurisés à l'aide du chiffrement : HTTPS, VPN, SSH, etc.
Cette sécurité repose sur des certificats. Un certificat comprend :
• Le nom de domaine
• La clé publique du serveur
• Sa période de validité
• La signature d'une autorité de certification (CA)
La signature de l'autorité de certification est cruciale : elle prouve que le certificat provient d'une entité de confiance reconnue par les navigateurs.
Chaîne de délégation
La confiance dans un certificat repose sur une chaîne de certification.
Celle-ci commence par une autorité racine, dont le certificat est auto-signé et intégré dans les systèmes d'exploitation et navigateurs. Cette autorité racine délègue ensuite la signature des certificats à des autorités intermédiaires, qui émettent les certificats utilisés par les sites web.
Ce modèle permet de limiter les risques : en cas de compromission d'une autorité intermédiaire, il est possible de la révoquer sans affecter l'ensemble de l'écosystème.
La création ou le renouvellement d'un certificat racine est une opération hautement sensible qui nécessite des conditions de sécurité physique et logique très strictes. Généralement, les clés cryptographiques sont transportées de manière sécurisée et générées dans un environnement fermé, blindé et isolé du réseau.
Plusieurs témoins sont présents tout au long du processus afin de garantir la traçabilité et la transparence des opérations.
Ce niveau de précaution est indispensable car la compromission d'une autorité racine mettrait en danger la confiance de l'ensemble des connexions sécurisées sur Internet.
Voir article dédié chez Cloudflare :
https://www.cloudflare.com/fr-fr/learning/dns/dnssec/root-signing-ceremony/
Letsencrypt
Lancée en 2015 par l'Internet Security Research Group, Let's Encrypt est une autorité de certification gratuite, automatisée et ouverte.
Son objectif est de démocratiser l'usage du HTTPS en supprimant les barrières techniques et financières.
Les certificats émis par Let's Encrypt sont reconnus par les navigateurs, car l'autorité est signée par une chaîne de confiance incluant l'autorité racine ISRG Root X1.
La popularité de Letsencrypt est incontestable.
https://letsencrypt.org/fr/stats-dashboard/
Registars français
| Registar | Volumétrie |
| OVHCloud | ~ 5 millions de domaines |
| LWS | ~ 800k domaines |
| Gandi | ~2,5 millions de domaines (2019) |
| Netim | - |
| Scaleway (Illiad) | - |
| O2switch | ~ 500k domaines |
| Ikoula | - |
DynDNS : Dynamic DNS
DynDNS (pour Dynamic DNS) est un service qui permet d'associer un nom de domaine à une adresse IP qui peut changer fréquemment.
Il est principalement utilisé pour permettre l'accès distant à des services hébergés derrière des adresses IP publiques dynamiques (caméra, NAS, serveur web, etc.).
Par exemple, les adresses IP attribuées par des FAI peuvent changer régulièrement.
Fonctionnement
- Un nom de domaine dynamique est créé via un fournisseur DynDNS.
- Un client DynDNS (sur un routeur, NAS, PC, etc.) vérifie périodiquement l'adresse IP publique.
- À chaque changement d'IP, le client envoie la nouvelle IP au service DynDNS.
- Le fournisseur DynDNS met à jour l’adresse DNS : le nom de domaine pointe toujours sur l'IP à jour.
- Depuis l'extérieur, le service est toujours accessible, même après un changement d'IP.
La plupart des hébergeurs et registars proposent un service de DynDNS.
Exemple de configuration
Gestion des accès et des sous-domaines chez OVH :
Client DynDNS sur un NAS Synology :
