En résumé, l'ICANN régule le système mondial des noms de domaine, alors que l'AFNIC administre principalement les domaines français sous la supervision et la délégation de l’ICANN et des autorités françaises.
### Quelques règles #### ccTLD - Chaque pays définit ses propres règles. - L'ICANN n’a **aucune autorité** sur les ccTLD. - Les ccTLD dépendent de la législation de leur pays.Attention à l'usage détourné, par exemple : `.tv` (Tuvalu), `.me` (Monténégro), `.co` (Colombie).
### Attribution des gTLD Il existe plusieurs types de gTLD : **ouverts**, **ciblés** ou **semi-fermés**. ##### gTLD ouverts Ce sont des extensions de domaine accessibles à tous, sans restriction particulière. Exemples : `.com`, `.net`, `.info`, `.org`, etc. Tout le monde peut enregistrer un domaine sous ces gTLD, particuliers comme entreprises, sans justifier d'une activité ou un statut. ##### gTLD ciblés Ce sont des extensions liées à un thème, une profession, une activité ou une communauté. Elles sont soumises à des règles d'attribution plus ou moins strictes et sont ouvertes à l'ensemble des acteurs liés à ce thème, parfois avec des restrictions modérées (auto-déclaration ou preuve d'activité). **Exemples :** - `.bank` (réservé aux institutions bancaires) - `.pharmacy` (réservé aux pharmacies) - `.museum` (réservé aux musées) ##### gTLD semi fermés Ces extensions ne sont accessibles qu'à certaines organisations avec des conditions d’attribution strictes. **Exemples :** - `.aero` : industrie aéronautique - `.bnpparibas` - `.sony` - `.gov` : administration américaine # Protocole DNS Le **DNS** (Domain Name System) est un système hiérarchique et distribué permettant de résoudre les noms de domaine en adresses IP. ### Caractéristiques - **Port :** `UDP 53` `TCP 53` - **Propagation DNS :** Lorsqu'un enregistrement est modifié, la mise à jour peut prendre de quelques minutes à 48 heures selon le `TTL` défini. - **Serveurs racine :** 13 ensembles de serveurs (A à M) qui orientent les requêtes vers les serveurs de domaine de premier niveau (TLD) comme `.com`, `.fr`, etc. ### Serveurs DNS : FAI et alternatifs Les FAI proposent leurs propres serveurs DNS à leurs abonnés. Ces serveurs sont souvent configurés automatiquement sur les box ou routeurs. Si ils sont généralement à proximité géographique de l'abonné, ils peuvent parfois être filtrés ou limités.Un DNS menteur fournit volontairement de fausses informations de résolution de noms de domaine, par exemple pour bloquer l'accès à certains sites ou rediriger vers des pages spécifiques. Ce type de manipulation est utilisé par des FAI ou des gouvernements pour censurer ou filtrer le contenu en ligne.
Il existe des serveurs DNS alternatifs, tels que **Google DNS** `8.8.8.8`, **Cloudflare** `1.1.1.1,` **Quad9** `9.9.9.9`, etc. ### Zone DNS Une **zone DNS** contient les enregistrements associés à un domaine ou un sous-domaine. Elle est gérée par un serveur faisant autorité. #### Champs principaux| **Type** | **Description** | **Exemple** |
|---|---|---|
| **A** | Associe un nom de domaine à une adresse IPv4 | `formation.tfrichet.fr. IN A 51.68.45.52` |
| **AAAA** | Associe un nom de domaine à une adresse IPv6 | `starwars.com. IN AAAA 2600:1408:c400:e::17cd:6a08` |
| **CNAME** | Alias d’un autre nom de domaine | `www.tfrichet.fr. IN CNAME tfrichet.fr.` |
| **TXT** | Texte libre, souvent utilisé pour SPF ou autre (vérification Google par exemple) | |
| **NS** | Serveurs DNS faisant autorité | `tfrichet.fr. IN NS dns12.ovh.net.` |
| **Type** | **Description** | **Exemple** |
|---|---|---|
| **MX** | Serveurs de messagerie | `example.com. IN MX 10 mail.example.com.` |
| **SPF** | Spécifie les serveurs autorisés à envoyer des emails | `TXT "v=spf1 a: include:_spf.protonmail.ch ~all"` |
| **DKIM** | Clé publique pour la signature des emails | `default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIB..."` |
| **DMARC** | Politique de traitement des emails non conformes | `_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"` |
Voir la liste complète : [https://help.ovhcloud.com/csm/fr-dns-zone-records?id=kb\_article\_view&sysparm\_article=KB0063452](https://help.ovhcloud.com/csm/fr-dns-zone-records?id=kb_article_view&sysparm_article=KB0063452)
# Certification et registars ### Certification Les échanges sur Internet sont sécurisés à l'aide du chiffrement : HTTPS, VPN, SSH, etc. Cette sécurité repose sur des certificats. Un certificat comprend : • Le nom de domaine • La clé publique du serveur • Sa période de validité • La signature d'une autorité de certification (CA)La signature de l'autorité de certification est cruciale : elle prouve que le certificat provient d'une entité de confiance reconnue par les navigateurs.
#### Chaîne de délégation La confiance dans un certificat repose sur une chaîne de certification. Celle-ci commence par une autorité racine, dont le certificat est auto-signé et intégré dans les systèmes d'exploitation et navigateurs. Cette autorité racine délègue ensuite la signature des certificats à des autorités intermédiaires, qui émettent les certificats utilisés par les sites web.
Ce niveau de précaution est indispensable car la compromission d'une autorité racine mettrait en danger la confiance de l'ensemble des connexions sécurisées sur Internet.
**Voir article dédié chez Cloudflare :** [https://www.cloudflare.com/fr-fr/learning/dns/dnssec/root-signing-ceremony/](https://www.cloudflare.com/fr-fr/learning/dns/dnssec/root-signing-ceremony/) #### Letsencrypt Lancée en 2015 par l'**Internet Security Research Group,** Let's Encrypt est une autorité de certification gratuite, automatisée et ouverte. Son objectif est de démocratiser l'usage du HTTPS en **supprimant les barrières techniques et financières**. Les certificats émis par Let's Encrypt sont reconnus par les navigateurs, car l'autorité est signée par une chaîne de confiance incluant l'autorité racine ISRG Root X1. La popularité de Letsencrypt est incontestable. [https://letsencrypt.org/fr/stats-dashboard/](https://letsencrypt.org/fr/stats-dashboard/) [](https://formation.tfrichet.fr/uploads/images/gallery/2025-10/pc5c3LmhVOVq62wr-image.png) ### Registars français| **Registar** | **Volumétrie** |
| **OVHCloud** | ~ 5 millions de domaines |
| **LWS** | ~ 800k domaines |
| **Gandi** | ~2,5 millions de domaines (2019) |
| **Netim** | - |
| **Scaleway (Illiad)** | - |
| **O2switch** | ~ 500k domaines |
| **Ikoula** | - |
La plupart des hébergeurs et registars proposent un service de DynDNS.
### Exemple de configuration **Gestion des accès et des sous-domaines chez OVH :** [](https://formation.tfrichet.fr/uploads/images/gallery/2025-10/kk3bXi9UdCqN4Oa8-image.png) **Client DynDNS sur un NAS Synology :** [](https://formation.tfrichet.fr/uploads/images/gallery/2025-10/6wqRhTCaFhhGtgBV-image.png)