T-01-02 — DNS + TLS auto : ce que contient le bundle (et pourquoi il vaut 47 €)
Un certificat expiré, ce n'est pas une erreur de configuration. C'est une panne annoncée que personne n'a écoutée.
Tu as un domaine. Tu as un VPS avec Coolify qui tourne. La question que tu te poses maintenant est concrète : comment je branche le DNS proprement, comment je force le HTTPS, et comment je fais en sorte que ça ne casse pas dans six mois quand je serai en train de gérer autre chose ?
Si tu as lu l'article 01 — Anatomie d'internet, tu sais déjà ce que DNSSEC fait, pourquoi un record CAA existe, et comment un certificat TLS est émis par une autorité de confiance. Tu as la théorie.
T-01-02 est la réponse pratique. Ce que contient ce toolkit, pourquoi il est structuré ainsi, pour qui il est fait — et pour qui il ne l'est pas.
Ce que fait T-01-02 en une phrase
Configure Cloudflare DNS durci (DNSSEC actif, CAA, records de référence, paramètres SSL Full Strict) + certificats Let's Encrypt auto-renouvelés via Traefik Coolify + alerte 30 jours avant expiration + scripts de validation DNSSEC. Setup 1 heure, surveillance quotidienne automatique à vie.
Ce qui se passe quand tu ne l'as pas fait
Tu n'as pas à imaginer ces scénarios — ils arrivent régulièrement sur des projets indépendants.
Le cert expiré un dimanche soir. Le renouvellement Let's Encrypt était censé être automatique. Il y a eu une migration VPS il y a deux mois, la config Traefik a changé, le challenge ACME échoue silencieusement depuis trois semaines. Ton certificat expire le samedi à 23h47. Le lundi matin, tes visiteurs voient NET::ERR_CERT_DATE_INVALID. Selon les données d'utilisation des navigateurs, plus de la moitié des visiteurs ne cliquent pas "continuer" sur un avertissement TLS — ils ferment l'onglet. Les ventes du week-end sont parties en fumée.
Le DNS non signé. Sans DNSSEC, un attaquant qui contrôle un résolveur intermédiaire peut empoisonner le cache DNS et rediriger tes visiteurs vers son infrastructure, avec un certificat valide obtenu via Let's Encrypt (qui ne vérifie que le contrôle du domaine). Tes utilisateurs voient ton domaine dans la barre d'adresse. Ils ne voient aucun avertissement.
Pas de CAA record. Avant la RFC 8659, n'importe quelle autorité de certification accréditée pouvait émettre un certificat pour ton domaine sans ton accord. DigiNotar, Comodo, Symantec ont émis des certificats frauduleux pour des domaines Google, Mozilla, Yahoo dans des incidents documentés. Un record CAA dit : "seul Let's Encrypt peut émettre pour mon domaine".
Pas de monitoring. Tu ne sais pas que le renouvellement a échoué. Tu n'as pas eu d'alerte. Tu découvres le problème en ouvrant un onglet par hasard, ou quand un utilisateur t'envoie un message.
Décomposition du contenu livré
Le bundle ZIP contient 21 fichiers. Voici ce qui compte pour comprendre ce que tu reçois.
| Composant | Contenu | Rôle |
|---|---|---|
cloudflare-zone-config.json | Records DNS de référence (A, AAAA, CNAME, MX, CAA, SPF, DKIM, DMARC) | Source de vérité de ta zone, versionnée git, idempotente |
caa-records.txt | Les 3 records CAA expliqués (RFC 8659) | Limite l'émission à Let's Encrypt uniquement, alerte iodef sur tentative non autorisée |
traefik-letsencrypt.yml | Config ACME DNS-01 Traefik prête à coller | Wildcard cert qui couvre tous tes sous-domaines sans les exposer dans les CT logs |
cert-expiry-check.sh + dnssec-validation.sh | 2 crons quotidiens (06h00 et 06h15 UTC) | Alerte 30 jours avant expiration cert, validation chaîne DNSSEC bout en bout |
checklist.md | Vérifications pre/post-installation (~272 lignes) | dig +dnssec, openssl s_client, SSL Labs A+ — chaque étape confirmée |
Le script principal setup-dns-tls.sh orchestre l'ensemble en une commande : création des records DNS, activation DNSSEC côté Cloudflare, soumission du DS record au registrar (via API pour Cloudflare Registrar, OVH, Gandi — avec fallback manuel guidé pour les autres), émission du certificat wildcard, installation des crons de monitoring.
La documentation client représente environ 1 700 lignes : README, manuel utilisateur en 14 sections, checklist, ressources annotées, et un prompt Claude Code pour adapter le toolkit à ton contexte précis.
Qui est la cible
Le vibe-coder sur Cursor, premier domaine en prod. Tu as installé T-01-01 Coolify. Cloudflare est en proxy sur ton domaine, mais tu n'as jamais ouvert l'onglet DNSSEC. Tu n'es pas certain que ton cert Let's Encrypt se renouvelle correctement. T-01-02 ferme ces angles sans que tu aies à lire trois documentations différentes.
L'infopreneur dont le site est le business. Tu vends des formations ou des produits numériques. Un dimanche soir avec HTTPS cassé, c'est des ventes perdues et une réputation abîmée. Tu n'as pas le temps de devenir expert DNS — tu as le temps de suivre une vidéo pédagogique de 30 minutes et d'exécuter un script.
Le SaaS founder qui prépare un lancement multi-tenant. Tu vas avoir app., api., docs., admin., staging. Le cert wildcard couvre tous ces sous-domaines avec un seul certificat. Aucun sous-domaine n'apparaît dans les Certificate Transparency logs — un concurrent ne peut pas énumérer ta stack depuis crt.sh. Le script add-subdomain.sh ajoute un sous-domaine supplémentaire en 10 secondes sans réémettre de cert.
Qui n'est pas la cible
Quelqu'un qui n'a pas son propre VPS. T-01-02 dépend de Traefik, qui est installé et géré par Coolify via T-01-01. Si tu es sur Vercel, Netlify ou un hébergeur managé, le challenge ACME DNS-01 n'a pas de point d'ancrage. T-01-02 n'est pas fait pour toi dans cette configuration.
Quelqu'un qui veut un panel zéro-configuration. Le toolkit demande une heure d'attention : créer deux tokens Cloudflare avec les bons scopes, remplir un fichier .env, lancer le script, vérifier les résultats. Ce n'est pas un service managé — c'est un kit de configuration que tu exécutes toi-même et que tu comprends.
Le sysadmin senior qui configure l'API Cloudflare à la main depuis des années. Si tu as déjà un cron perso de monitoring cert, un processus de soumission DS, et que tu connais les scopes des tokens CF par cœur, T-01-02 automatise ce que tu fais déjà. Il y a peu de valeur ajoutée à ce niveau.
Ce que ça remplace
Un tutoriel YouTube gratuit. Compter 3 à 4 heures pour assembler les bonnes informations depuis plusieurs sources, avec des erreurs silencieuses parce que personne ne montre la vérification en fin d'article. Aucun monitoring installé à la sortie. La prochaine fois que le cert expire, tu refais le même chemin.
Une prestation d'agence. Entre 300 et 800 euros selon l'agence, pour une configuration qui reste dans la tête du prestataire. Quand quelque chose change — migration VPS, renouvellement de domaine, nouveau sous-domaine — tu rappelles, tu repasses. Les configs ne sont pas documentées dans ton repo. Tu n'as pas de monitoring.
Un service SaaS managé. Cloudflare for SaaS et équivalents facturent entre 30 et 100 euros par mois pour des fonctionnalités que T-01-02 installe une fois pour toutes sur ta propre infrastructure. En 12 mois, tu as payé deux à trois fois le prix du toolkit en abonnement, sur une stack que tu ne contrôles pas entièrement.
Couverture sécurité
T-01-02 couvre quatre tactiques du référentiel MITRE ATT&CK.
TA0001 — Initial Access. DNSSEC bloque le cache poisoning : un attaquant ne peut pas rediriger tes visiteurs vers un faux site en falsifiant des réponses DNS. Le record CAA bloque l'émission non autorisée de certificats — même si ton registrar est compromis, la CA doit respecter le record avant d'émettre.
TA0005 — Defense Evasion. SSL Full Strict (Cloudflare vers VPS chiffré de bout en bout), Always-HTTPS activé, TLS 1.2 minimum, TLS 1.3 actif. Ces paramètres ferment les attaques de downgrade et les proxies qui tentent d'intercepter le trafic en se faisant passer pour ton serveur.
TA0040 — Impact. Un certificat qui expire met ton site hors ligne. L'alerte 30 jours avant expiration te donne suffisamment de temps pour corriger un renouvellement qui échoue silencieusement — avant que tes visiteurs voient l'avertissement rouge. T-01-02 inclut également un script bypass-cloudflare.sh qui bascule en mode DNS-only direct vers le VPS en moins de 2 minutes en cas de panne proxy Cloudflare.
TA0043 — Reconnaissance. Le cert wildcard *.mondomaine.fr masque tes sous-domaines dans les Certificate Transparency logs. Un attaquant qui cherche ta stack sur crt.sh ne voit qu'un wildcard — pas la liste de tes services. Le record CAA iodef t'alerte si une CA tente d'émettre hors de ta politique.
Ces quatre tactiques correspondent aux domaines Cyberviseur zero-trust (contrôle du trafic DNS/TLS), crisis (expiration cert = panne P1), et secret (CAA = politique d'émission restrictive).
Sa place dans le bundle B01
Le bundle B01 Foundation regroupe cinq toolkits qui s'enchaînent dans un ordre précis : T-01-01 → T-01-02 → T-01-03 → T-01-04 → T-01-05.
T-01-01 (Coolify hardened) pose la machine : VPS durci, Traefik configuré, firewall en place. Mais à ce stade, ton domaine n'est pas encore sécurisé côté DNS, et ton HTTPS dépend du bon fonctionnement du renouvellement automatique sans aucune surveillance.
T-01-02 (DNS + TLS) est la deuxième brique. Sans HTTPS valide et DNSSEC actif, ton site inspire peu confiance — l'avertissement navigateur fait fuir les visiteurs, et un attaquant qui cible ton domaine a plusieurs angles ouverts. T-01-02 sécurise ton domaine et ton TLS avant que tu poses du code applicatif.
T-01-03 (Next.js boilerplate sécurisé) et T-01-04 (GitHub + Coolify auto-deploy) viennent ensuite. Ils présupposent que le HTTPS est propre et que le domaine est correctement délégué. Si tu déploies du code Next.js derrière un HTTPS mal configuré ou un DNS non signé, tu construis sur un socle fragile.
T-01-05 (Infisical — gestion des secrets) ferme la boucle avec la gestion des tokens et credentials, dont ceux que T-01-02 utilise (tokens Cloudflare, credentials SMTP pour les alertes).
L'ordre n'est pas arbitraire. Chaque toolkit rend le suivant possible.
Pricing et garantie
| Élément | Valeur |
|---|---|
| Prix unitaire | 47 € |
| Format | ZIP téléchargeable + email post-achat + vidéo pédagogique (~30 min) |
| Garantie | 14 jours satisfait ou remboursé, sans justification |
| Support | Email 14 jours (questions liées à l'application du toolkit) |
| Setup estimé | 1 heure |
T-01-02 est inclus dans le bundle B01 Foundation à 97 € avec les quatre autres toolkits de la phase 01. En achat séparé, les cinq toolkits représentent 339 €. Le bundle économise 242 € (moins 71 %).
En résumé
Si tu as un domaine en production et que tu n'as pas encore configuré DNSSEC, un record CAA, et un monitoring d'expiration de certificat, tu as quatre angles ouverts que des attaquants automatisés cherchent en permanence. T-01-02 ferme ces quatre angles en une heure, avec un monitoring quotidien qui tourne ensuite en fond sans intervention de ta part.
Ce n'est pas un tutoriel que tu suis une fois et que tu oublies. C'est une configuration documentée dans ton repo, avec des scripts idempotents et des alertes qui t'avertissent avant que le problème devienne visible pour tes utilisateurs.
Passer à l'action :
Obtenir T-01-02 — DNS + TLS auto — 47 € 14 jours satisfait ou remboursé. Support email 14 jours inclus.
Ou, si tu veux poser toute la fondation infrastructure d'un coup :
Bundle B01 Foundation — 97 € — 5 toolkits (T-01-01 → T-01-05), du VPS vide au site déployé sécurisé. Économie de 242 € par rapport à l'achat séparé.
Article suivant : T-01-04 — GitHub + Coolify auto-deploy : ce que contient le bundle →
Cet article est gratuit et fait partie de la phase 01 du parcours Cyberviseur. Si tu veux être prévenu·e quand les prochains modules sortent, inscris-toi à la newsletter — un email tous les 15 jours, jamais de spam, désinscription en un clic.