SOA : la carte d'identité de la zone DNS
L'enregistrement SOA (Start of Authority) est le premier et le plus important enregistrement de chaque zone DNS. Il contient les métadonnées fondamentales qui gouvernent le fonctionnement de la zone : qui est le serveur de noms primaire, qui est l'administrateur, le numéro de série qui suit les modifications, et les paramètres qui régulent la synchronisation entre serveur de noms primaire et secondaires. Chaque zone DNS doit avoir exactement un enregistrement SOA — c'est obligatoire selon les spécifications RFC.
Bien que souvent négligé par les administrateurs qui se concentrent sur les enregistrements A, MX et CNAME, l'enregistrement SOA a un impact direct sur la vitesse de propagation des modifications DNS et la résilience du système. Des paramètres SOA mal configurés peuvent provoquer des retards de propagation, des zones DNS non mises à jour sur les serveurs de noms secondaires, et dans les cas extrêmes, la perte d'autorité des serveurs de noms secondaires.
Anatomie de l'enregistrement SOA
Le numéro de série est un compteur qui est incrémenté à chaque modification de la zone. Les serveurs de noms secondaires comparent le numéro de série du primaire avec le leur : si celui du primaire est supérieur, ils téléchargent la nouvelle version de la zone (transfert de zone). La convention la plus répandue est le format AAAAMMJJNN (date + numéro séquentiel), mais tout entier croissant fonctionne. Si vous oubliez d'incrémenter le numéro de série après une modification, les secondaires ne se mettront pas à jour.
Refresh indique toutes les combien de secondes le serveur de noms secondaire vérifie si le numéro de série du primaire a changé. Retry est l'intervalle entre les tentatives si le rafraîchissement échoue. Expire est le temps maximum au-delà duquel, si le primaire est injoignable, le secondaire cesse de répondre pour la zone (la considérant périmée). Le champ Minimum TTL (ou Negative Cache TTL) indique pendant combien de temps les résolveurs mémorisent les réponses négatives (NXDOMAIN — domaine inexistant).
Valeurs SOA recommandées
Les valeurs optimales dépendent du contexte. Pour les zones avec des modifications fréquentes : Refresh 300-900s, Retry 60-300s. Pour les zones stables : Refresh 3600-7200s, Retry 900s. Expire doit toujours être bien supérieur au Refresh (7-14 jours) pour garantir que les secondaires continuent de servir la zone durant les pannes prolongées du primaire. Un Negative Cache TTL de 3600s est une bonne valeur par défaut — trop élevé et les sous-domaines supprimés restent « fantômes » trop longtemps.
Utilisez SOA Lookup pour vérifier les paramètres de votre zone et les comparer aux bonnes pratiques. Associez le contrôle avec NS Lookup pour vérifier que les serveurs de noms listés dans le SOA correspondent à ceux effectivement délégués, et avec DNS Health Check pour un contrôle complet de la cohérence de la zone. Le SOA est rarement la cause directe de problèmes visibles par les utilisateurs, mais des paramètres incorrects peuvent amplifier l'impact d'autres problèmes.
Un détail qui prête souvent à confusion est le format de l'email de l'administrateur dans le SOA : admin.exemple.com n'est pas une URL mais une adresse email où le premier point remplace le @. Ainsi admin.exemple.com correspond à admin@exemple.com. Si l'adresse contient un point avant le @, il est échappé avec un antislash : mario\.rossi.exemple.com correspond à mario.rossi@exemple.com. Ce format hérité est l'une des particularités du DNS héritées des années 80.