Qu'est-ce que la délégation CNAME ?

Un aperçu conceptuel de la délégation CNAME : ce que c'est, comment QuietLS l'utilise et pourquoi c'est important.

Qu'est-ce qu'un enregistrement CNAME ?

Un enregistrement CNAME (Canonical Name) est un type d'enregistrement DNS qui associe un nom de domaine à un autre. Lorsqu'un résolveur DNS rencontre un CNAME, il suit l'alias et résout le nom cible.

Exemple :

blog.example.com.   CNAME   example.github.io.

Dans cet exemple, toute personne consultant blog.example.com est redirigée de manière transparente vers example.github.io au niveau du DNS.

Qu'est-ce que la délégation CNAME ?

La délégation CNAME est la pratique consistant à faire pointer un sous-domaine spécifique vers un service tiers via un enregistrement CNAME, déléguant ainsi le contrôle de ce nom au service.

L'idée clé : vous créez le CNAME une seule fois, et à partir de ce moment, le service tiers contrôle la résolution de ce sous-domaine — sans qu'il soit nécessaire d'effectuer d'autres modifications DNS.

Ce modèle est largement utilisé pour :

La vérification de domaine (prouver la propriété à un service)
La validation de certificats SSL (défis ACME DNS-01)
L'authentification des e-mails (DKIM, SPF via include)
La configuration de CDN

Comment QuietLS utilise la délégation CNAME

QuietLS utilise la délégation CNAME pour vérifier que vous êtes propriétaire de votre domaine. Lorsque vous ajoutez un domaine, QuietLS vous demande de créer un seul enregistrement CNAME :

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Voici ce que signifie chaque partie :

_pki-validation.example.com : Un sous-domaine sous votre domaine. Le préfixe _pki-validation est une convention qui indique « ce nom est utilisé pour la validation PKI (Public Key Infrastructure) ». Il n'affecte ni votre site web, ni vos e-mails, ni aucun autre service.

<token>.verification.quietls.com : La cible, hébergée sur l'infrastructure de QuietLS. Le jeton est un identifiant unique généré à partir de votre compte et du nom de domaine.

Que se passe-t-il lors de la vérification

Vous créez l'enregistrement CNAME chez votre fournisseur DNS.
QuietLS interroge les serveurs DNS publics (Google 8.8.8.8 et Cloudflare 1.1.1.1) pour trouver un enregistrement CNAME sur _pki-validation.example.com.
Si la valeur résolue correspond au jeton attendu, la propriété est confirmée.

Pourquoi la délégation CNAME ?

Configuration unique

Vous ajoutez l'enregistrement CNAME une seule fois. Ensuite, QuietLS peut vérifier votre domaine à tout moment sans que vous ayez besoin de vous reconnecter à votre fournisseur DNS.

Aucune intervention manuelle continue

Contrairement à la vérification par fichier (télécharger un fichier sur votre serveur web) ou à la vérification par e-mail, la délégation CNAME ne dépend pas de l'accessibilité de votre serveur ni de l'existence d'une adresse e-mail spécifique.

Non intrusif

Le sous-domaine _pki-validation est un espace de noms dédié qui n'interfère pas avec votre site web, vos e-mails ou tout autre enregistrement DNS. Il est invisible pour vos utilisateurs.

Modèle de sécurité

Jeton unique par utilisateur et par domaine

Le jeton de vérification est dérivé d'une combinaison de l'ID de votre compte utilisateur et du nom de domaine :

token = sha256(userId + ":" + domain)[0..32]

Cela signifie :

Chaque utilisateur reçoit un jeton différent pour le même domaine.
Chaque domaine reçoit un jeton différent pour le même utilisateur.
Le jeton est déterministe — ajouter le même domaine à nouveau produit le même jeton (pas besoin de mettre à jour le DNS).

Protection contre les changements de propriété

Le jeton étant lié à un compte utilisateur spécifique, le transfert d'un domaine à un nouveau propriétaire invalide la vérification précédente. Si quelqu'un d'autre ajoute le même domaine à son compte QuietLS, il recevra un jeton différent et devra créer son propre enregistrement CNAME. Le CNAME de l'ancien propriétaire ne correspond plus et son domaine devient non vérifié.

Résolution DNS publique

QuietLS vérifie les enregistrements CNAME via des résolveurs DNS publics (Google et Cloudflare), et non via des requêtes directes à vos serveurs de noms. Cela garantit que l'enregistrement est propagé globalement et visible, correspondant à ce que les autorités de certification verraient lors d'une validation SSL réelle.

Qu'est-ce que la délégation CNAME ?

Un aperçu conceptuel de la délégation CNAME : ce que c'est, comment QuietLS l'utilise et pourquoi c'est important.

Qu'est-ce qu'un enregistrement CNAME ?

Exemple :

blog.example.com.   CNAME   example.github.io.

Dans cet exemple, toute personne consultant blog.example.com est redirigée de manière transparente vers example.github.io au niveau du DNS.

Qu'est-ce que la délégation CNAME ?

La délégation CNAME est la pratique consistant à faire pointer un sous-domaine spécifique vers un service tiers via un enregistrement CNAME, déléguant ainsi le contrôle de ce nom au service.

Ce modèle est largement utilisé pour :

La vérification de domaine (prouver la propriété à un service)
La validation de certificats SSL (défis ACME DNS-01)
L'authentification des e-mails (DKIM, SPF via include)
La configuration de CDN

Comment QuietLS utilise la délégation CNAME

QuietLS utilise la délégation CNAME pour vérifier que vous êtes propriétaire de votre domaine. Lorsque vous ajoutez un domaine, QuietLS vous demande de créer un seul enregistrement CNAME :

_pki-validation.example.com.   CNAME   <token>.verification.quietls.com.

Voici ce que signifie chaque partie :

<token>.verification.quietls.com : La cible, hébergée sur l'infrastructure de QuietLS. Le jeton est un identifiant unique généré à partir de votre compte et du nom de domaine.

Que se passe-t-il lors de la vérification

Vous créez l'enregistrement CNAME chez votre fournisseur DNS.
QuietLS interroge les serveurs DNS publics (Google 8.8.8.8 et Cloudflare 1.1.1.1) pour trouver un enregistrement CNAME sur _pki-validation.example.com.
Si la valeur résolue correspond au jeton attendu, la propriété est confirmée.

Pourquoi la délégation CNAME ?

Configuration unique

Vous ajoutez l'enregistrement CNAME une seule fois. Ensuite, QuietLS peut vérifier votre domaine à tout moment sans que vous ayez besoin de vous reconnecter à votre fournisseur DNS.

Aucune intervention manuelle continue

Non intrusif

Le sous-domaine _pki-validation est un espace de noms dédié qui n'interfère pas avec votre site web, vos e-mails ou tout autre enregistrement DNS. Il est invisible pour vos utilisateurs.

Modèle de sécurité

Jeton unique par utilisateur et par domaine

Le jeton de vérification est dérivé d'une combinaison de l'ID de votre compte utilisateur et du nom de domaine :

token = sha256(userId + ":" + domain)[0..32]

Cela signifie :

Chaque utilisateur reçoit un jeton différent pour le même domaine.
Chaque domaine reçoit un jeton différent pour le même utilisateur.
Le jeton est déterministe — ajouter le même domaine à nouveau produit le même jeton (pas besoin de mettre à jour le DNS).