DNSSEC et SSL : échec silencieux du renouvellement de

Si votre site web utilise DNSSEC, une modification récente de la façon dont les certificats SSL sont validés pourrait entraîner l'échec silencieux du renouvellement de votre certificat, laissant vos visiteurs face à un avertissement de cadenas cassé dans leur navigateur.

Ce qui s'est passé

Selon le blog Sucuri, le pare-feu applicatif web (WAF) de Sucuri a commencé à prendre pleinement en charge le ballot SC-085v2 du CA/Browser Forum en mars 2026. Depuis ce changement, certains renouvellements de certificats SSL échouent pour les domaines dont la configuration DNSSEC est incorrecte.

Le CA/Browser Forum est l'organisme professionnel au sein duquel les principales autorités de certification et les éditeurs de navigateurs s'accordent sur les règles d'émission des certificats SSL. Lorsqu'un ballot comme le SC-085v2 est adopté, les autorités de certification conformes sont tenues de le respecter. La règle est simple : si un domaine publie des enregistrements DNSSEC, l'ensemble de la chaîne de confiance doit être validé avant qu'un certificat puisse être émis. Si cette validation échoue, la demande de certificat est rejetée.

Pourquoi DNSSEC peut poser des problèmes

DNSSEC est une fonctionnalité de sécurité qui ajoute des signatures cryptographiques aux enregistrements DNS de votre domaine, protégeant ainsi contre certains types d'attaques. Son activation est généralement recommandée. Cependant, elle nécessite une maintenance régulière, et une mauvaise configuration peut rompre la chaîne de confiance que le SC-085v2 exige désormais de vérifier.

Selon Sucuri, les mauvaises configurations les plus fréquemment à l'origine des échecs sont les suivantes :

• Des enregistrements DS manquants ou non concordants auprès de votre bureau d'enregistrement de domaine
• Des signatures RRSIG expirées
• Des renouvellements de clés mal exécutés
• Des réponses incohérentes entre les serveurs de noms
• Des décalages d'horloge ou des incompatibilités d'algorithmes

Les normes DNSSEC sous-jacentes sont définies dans les RFC 4033, RFC 4034 et RFC 4035. Ce sont des spécifications techniques, mais le point pratique est simple : si une partie de votre configuration DNSSEC est obsolète ou incohérente, l'émission du certificat peut être bloquée.

Qu'est-ce que cela signifie pour votre site web ?

Si DNSSEC est activé sur votre domaine et que votre certificat SSL doit être renouvelé, il est conseillé de vérifier que vos enregistrements DNSSEC sont correctement configurés et à jour, en particulier les enregistrements DS détenus auprès de votre bureau d'enregistrement. Un renouvellement échoué peut entraîner un avertissement dans le navigateur qui dissuade vos visiteurs de faire confiance à votre site. Vous trouverez des étapes pratiques pour maintenir les paramètres de sécurité de votre site web dans notre liste de contrôle de sécurité pour les petites entreprises.