Linkedin Twitter Youtube Instagram

Comment fonctionne le DNS : ICANN, résolution DNS et chaîne d’autorité expliquées

Comprendre le fonctionnement du DNS commence souvent par des termes comme serveurs racine, TLD et serveurs de noms autoritaires. Cependant, le DNS ne repose pas sur un système unique capable de tout résoudre. C’est une architecture délibérément distribuée, conçue pour évoluer à l’échelle mondiale tout en évitant un contrôle centralisé.

Au sommet de cette structure se trouve l’ICANN, non pas comme résolveur, mais comme coordinateur de l’autorité à travers l’écosystème DNS.

Quel rôle joue l’ICANN dans le DNS ?

L’ICANN ne résout pas les noms de domaine.

  • Elle ne répond pas aux requêtes DNS.
  • Elle ne retourne pas d’adresses IP.

À la place, ICANN définit qui est autorisé à contrôler quelles parties de l’espace de noms DNS et gère la zone racine via l’IANA.

En termes simples, ICANN trace la carte de l’autorité :

  • Qui contrôle .com ?
  • Qui gère .tr, .eu ou d’autres TLD ?
  • Quelles organisations sont fiables pour exploiter l’infrastructure DNS critique ?

ICANN n’interagit jamais directement avec les utilisateurs finaux, et cette séparation est intentionnelle.

Pourquoi le DNS est hiérarchique

Si le DNS était centralisé, il serait :

  • Impossible à faire évoluer
  • Vulnérable aux pannes
  • Risqué d’un point de vue gouvernance

C’est pourquoi le DNS est construit sur un modèle de délégation hiérarchique :

Racine (.) → Domaine de premier niveau (.com, .org, .tr) → Domaine (example.com) → Sous-domaine (api.example.com)

Chaque niveau délègue la responsabilité au niveau suivant. Aucun niveau ne résout tout seul.

Zone racine et serveurs racine

La zone racine ne stocke pas d’adresses IP.
Les serveurs racine répondent à une seule question :

“Quels serveurs de noms sont responsables de ce TLD ?”

Exemple : pour résoudre example.com, le serveur racine indique :

“Voici les serveurs de noms autoritaires pour .com.”

Le serveur racine ne résout jamais directement les domaines ; il indique seulement la prochaine autorité.

Qu’est-ce qu’un registre DNS ?

Un registre gère un Top-Level Domain spécifique.

Exemple : le registre .com sait :

  • Quels domaines sont enregistrés
  • Quels serveurs DNS autoritaires ils utilisent
  • Les enregistrements DNSSEC de délégation

Les registres ne retournent pas d’adresses IP. Leur rôle :

“Les serveurs DNS autoritaires de ce domaine sont ici.”

On peut considérer un registre comme un annuaire, pas un résolveur.

Le rôle des registrars

Les registrars opèrent sur la couche commerciale du DNS.

Ils permettent aux utilisateurs de :

  • Enregistrer des domaines
  • Renouveler des noms de domaine
  • Mettre à jour les informations des serveurs de noms
Link:  Pourquoi la cohérence éventuelle est inévitable dans les réseaux réglementés

Les registrars communiquent ces changements aux registres, mais ils ne participent pas à la résolution DNS.

Où la résolution DNS se produit réellement

La résolution DNS est effectuée par le résolveur récursif.

Lorsqu’un navigateur demande api.example.com, le résolveur :

  1. Vérifie son cache

  2. Interroge les serveurs racine

  3. Interroge les serveurs de noms TLD

  4. Interroge le serveur DNS autoritaire

  5. Met en cache la réponse et retourne l’adresse IP

Les résolveurs valident chaque étape et ne font pas confiance aveuglément aux réponses. C’est là que se produit le vrai travail.

DNS autoritaire : la source finale de vérité

Le serveur DNS autoritaire détient les enregistrements réels, par exemple :

 
api.example.com → 192.0.2.1
 

Une fois que le résolveur reçoit cette réponse, le processus de résolution est terminé.
Le serveur autoritaire a le dernier mot.

Registre vs Résolveur : une confusion fréquente

  • Registre : “Où se trouvent les serveurs DNS autoritaires de ce domaine ?”
  • Résolveur : “Quelle est l’adresse IP de ce domaine ?”

L’un indique le chemin, l’autre trouve la réponse.

Comment DNSSEC s’intègre à la chaîne d’autorité

DNSSEC ajoute une validation cryptographique entre chaque couche du DNS.

Il garantit que :

  • Les réponses sont authentiques
  • Les données n’ont pas été altérées

La racine sert de point d’ancrage de confiance, coordonné par ICANN/IANA, mais ICANN ne résout toujours pas les requêtes.

Pourquoi le DNS est conçu ainsi

Le DNS évite :

  • Les points de défaillance centraux
  • Les autorités uniques contrôlant le système

Au lieu de cela, il repose sur :

  • La délégation
  • La vérification
  • La responsabilité distribuée

Ce design peut sembler complexe, mais c’est ce qui permet à Internet de monter en charge globalement et de rester résilient.

Points clés à retenir

  • ICANN définit l’autorité, pas la résolution
  • Le DNS fonctionne via une délégation hiérarchique
  • Les registres savent où interroger, pas quelle est la réponse
  • Les résolveurs effectuent la recherche réelle
  • Les serveurs DNS autoritaires détiennent les enregistrements finaux
  • Le DNS est un système contrôlé et distribué — par conception

F.M Arslan

Linkedin Twitter Youtube Instagram
Comment pouvons-nous vous aider ?

Demandez votre évaluation gratuite

    Post Views: 512

    Related Posts: