Comment lire les données WHOIS et RDAP : champs et codes expliqués

Un enregistrement WHOIS ou RDAP contient de nombreux champs, dont plusieurs ne sont pas évidents à interpréter. Les codes EPP en particulier surprennent souvent, voir clientTransferProhibited sur son propre domaine peut sembler alarmant alors que c'est précisément l'état correct et sain. Cet article couvre les champs qui comptent, en commençant par la confusion des trois R qui affecte presque tous ceux qui lisent des données d'enregistrement pour la première fois.

Les trois R : registrant, registrar et registry

Ces trois termes apparaissent dans chaque enregistrement et sont fréquemment confondus :

Terme	Rôle	Exemples concrets
Registry	L'autorité qui gère un TLD	Verisign (.com), AFNIC (.fr), PIR (.org)
Registrar	La société accréditée qui vend les enregistrements	OVHcloud, Gandi, Namecheap
Registrant	La personne ou l'organisation qui possède le domaine	Votre entreprise ou votre nom

L'analogie la plus claire : le registry est le cadastre national, le registrar est le notaire ou l'agent immobilier, et le registrant est le propriétaire du bien. On traite avec le registrar pour acheter, renouveler ou transférer un domaine. Le registry enregistre l'état officiel de qui possède quoi sous un TLD donné.

Dans un enregistrement WHOIS, on trouve les trois :

• Registry Domain ID, l'identifiant interne du registry pour ce domaine
• Registrar, la société auprès de laquelle le domaine est enregistré
• Registrant Name / Organization, les coordonnées du propriétaire (souvent masquées)

Les dates clés : création, mise à jour et expiration

Tout enregistrement inclut trois dates. Elles semblent similaires mais signifient des choses différentes :

• Date de création, la première date d'enregistrement du domaine. Pas nécessairement la date à laquelle le propriétaire actuel l'a acquis ; les domaines changent de mains sans que la date de création soit réinitialisée.
• Date de mise à jour (la dernière fois que l'enregistrement a été modifié. Une date de mise à jour récente ne signifie pas une propriété récente) un changement de nameservers ou un renouvellement déclenche aussi une mise à jour. Cette date est souvent trompeuse.
• Date d'expiration (aussi appelée Registry Expiry Date), la date à laquelle l'enregistrement tombe si non renouvelé. C'est celle qui compte le plus pour la surveillance.

Dans une réponse RDAP, les dates apparaissent dans le tableau events :

"events": [
  {
    "eventAction": "registration",
    "eventDate": "2007-10-09T18:20:50Z"
  },
  {
    "eventAction": "last changed",
    "eventDate": "2022-09-07T09:10:44Z"
  },
  {
    "eventAction": "expiration",   ← celle-ci est à surveiller
    "eventDate": "2024-10-09T18:20:50Z"
  }
]

Période de grâce, période de rachat et pending delete

Après la date d'expiration, le domaine ne disparaît pas immédiatement. La plupart des registres suivent un calendrier structuré :

1. Période de grâce (0 à 45 jours selon le registrar) : le domaine a expiré mais le propriétaire peut encore le renouveler au prix normal. Le domaine peut arrêter de résoudre, ou le registrar peut afficher une page d'attente.
2. Période de rachat (environ 30 jours) : le renouvellement est encore possible, mais le registrar facture des frais de rachat significatifs, typiquement 50 à 150 € en plus du prix de renouvellement. Le statut EPP devient redemptionPeriod.
3. Pending delete (environ 5 jours) : le domaine est en file d'attente pour suppression. Le renouvellement n'est plus possible. Statut : pendingDelete.
4. Disponible : le domaine est libéré et peut être enregistré par n'importe qui. Les services de drop-catching entrent en concurrence à ce moment précis.

Les codes EPP expliqués

Les codes de statut EPP (Extensible Provisioning Protocol) décrivent l'état opérationnel actuel d'un domaine. Ils apparaissent comme champ status dans RDAP ou Domain Status dans le texte WHOIS. Comprendre leur signification mérite cinq minutes :

Code EPP	Signification simple	Ce que ça implique
ok / active	Normal, aucune restriction	État sain standard
clientTransferProhibited	Transfert verrouillé par le registrar	Le propriétaire ou le registrar a verrouillé les transferts sortants, normal et recommandé
clientUpdateProhibited	Modifications de l'enregistrement bloquées	Les changements dans l'enregistrement sont verrouillés
clientDeleteProhibited	Suppression bloquée	Le domaine ne peut pas être supprimé, souvent activé en même temps que les verrous de transfert et de mise à jour
serverTransferProhibited	Transfert verrouillé par le registry	Verrou au niveau du registry, peut indiquer un litige légal ou un hold
serverHold	Suspendu par le registry	Le domaine ne résout pas en DNS, signal grave nécessitant investigation
clientHold	Suspendu par le registrar	Similaire à serverHold mais au niveau du registrar
pendingTransfer	Transfert vers un autre registrar en cours	Fenêtre normale de 5-7 jours lors d'un transfert de registrar
pendingDelete	En file d'attente pour suppression	Le domaine sera libéré dans environ 5 jours
redemptionPeriod	Période de grâce tardive, frais de rachat élevés	Domaine expiré, dans la fenêtre de récupération coûteuse

Un domaine en usage actif sain affiche généralement clientTransferProhibited, clientUpdateProhibited et clientDeleteProhibited simultanément. Cette combinaison n'est pas un problème, c'est la protection par défaut du registrar contre les modifications non autorisées. L'absence de ces verrous sur un domaine important est en réalité une préoccupation.

serverHold est le code qui doit déclencher une action immédiate. Un domaine en serverHold ne résout pas en DNS, il est invisible sur le web. Cela peut arriver pour des problèmes de paiement, des signalements d'abus, ou des procédures légales initiées par le registry.

Les serveurs de noms : ce qu'ils révèlent

Les nameservers sont plus informatifs qu'ils n'y paraissent :

Schéma de nameserver	Prestataire probable
ns1.cloudflare.com, ns2.cloudflare.com	Cloudflare DNS
ns-xxx.awsdns-xx.com	Amazon Route 53
ns1.digitalocean.com	DigitalOcean
dns1.p08.nsone.net	NS1 (souvent utilisé par de grandes entreprises tech)
dns1.ovh.net	OVHcloud DNS

Un changement de nameservers sur un domaine que vous surveillez est l'un des événements les plus significatifs à détecter. Il indique presque toujours un changement de prestataire d'hébergement, d'infrastructure DNS, ou (dans le cas d'un domaine compromis) un détournement non autorisé.

Lire une réponse RDAP : exemple complet

Voici une vraie réponse RDAP pour github.com, annotée :

{
  "ldhName": "github.com",           ← nom de domaine normalisé
  "handle": "1264983250_DOMAIN_COM-VRSN",  ← identifiant interne du registry
  "status": [                        ← codes EPP
    "client transfer prohibited",
    "client update prohibited",
    "client delete prohibited"
  ],
  "events": [                        ← toutes les dates sont ici
    { "eventAction": "registration", "eventDate": "2007-10-09T18:20:50Z" },
    { "eventAction": "expiration",   "eventDate": "2024-10-09T18:20:50Z" },
    { "eventAction": "last changed", "eventDate": "2022-09-07T09:10:44Z" }
  ],
  "nameservers": [                   ← délégation DNS
    { "ldhName": "dns1.p08.nsone.net" },
    { "ldhName": "dns2.p08.nsone.net" }
  ],
  "entities": [                      ← registrar et registrant
    {
      "roles": ["registrar"],
      "vcardArray": ["vcard", [
        ["fn", {}, "text", "MarkMonitor Inc."]
      ]]
    }
  ],
  "secureDNS": {                     ← configuration DNSSEC
    "delegationSigned": true
  }
}

Correspondance champs WHOIS / RDAP

Pour ceux qui rencontrent du texte WHOIS brut et doivent le mapper vers les concepts RDAP :

Champ WHOIS	Équivalent RDAP
Registrar:	entities[].roles["registrar"].vcardArray
Creation Date:	events[?(@.eventAction=="registration")].eventDate
Registry Expiry Date:	events[?(@.eventAction=="expiration")].eventDate
Updated Date:	events[?(@.eventAction=="last changed")].eventDate
Name Server:	nameservers[].ldhName
Domain Status:	status[]
DNSSEC:	secureDNS.delegationSigned

Un enregistrement de domaine complet livre beaucoup d'informations dans un format compact. Les trois dates et les codes EPP sont les indicateurs les plus importants pour la santé d'un domaine. Domain Sentinel présente toutes ces données de façon structurée et lisible, et envoie des alertes quand les statuts ou les dates changent, faites une recherche sur n'importe quel domaine pour le voir en action.