Redirection 301 DNS : pourquoi le DNS seul ne suffit pas

DNS · HTTP · PRODUCTION

Une redirection 301 DNS est une expression trompeuse : le DNS ne renvoie pas de code HTTP. Pour migrer un domaine sans casser SEO, SSL ni applications, il faut séparer résolution DNS, serveur web et politique de redirection.

Schéma clair d’une redirection 301 avec DNS, HTTPS, reverse proxy et réponse HTTP vers un nouveau domaine
Le DNS résout le nom ; la redirection 301 est renvoyée par la couche HTTP ou le reverse proxy.

🧭

DNS ≠ redirection

Un A, AAAA ou CNAME résout un nom. Il ne dit pas au navigateur de changer d’URL.

🔐

HTTPS compte

La cible qui répond doit présenter un certificat valide pour l’ancien domaine.

📈

301 = migration durable

Une 301 transmet une intention permanente aux navigateurs et aux moteurs de recherche.

Pour faire une redirection 301, il faut une réponse HTTP émise par un serveur, un reverse proxy, un CDN ou un service de redirection. Le DNS intervient avant cette réponse : il indique seulement à quelle adresse le navigateur doit se connecter.

La bonne approche consiste donc à faire pointer l’ancien domaine vers une couche qui accepte la connexion HTTPS, conserve le chemin demandé, puis renvoie un code 301 vers le nouveau domaine.

Flux à garder en tête

NavigateurDNSIP / proxyHTTP 301

Le vrai point de contrôle est la couche HTTP, pas la zone DNS.

Ce que fait vraiment le DNS dans une redirection 301 DNS

Le DNS traduit un nom en cible technique. Un enregistrement A pointe vers une IPv4, AAAA vers une IPv6, CNAME vers un autre nom, et certains fournisseurs ajoutent des services de forwarding au-dessus du DNS.

Cette distinction est essentielle. Quand un visiteur demande https://ancien-domaine.fr/page, son navigateur résout d’abord le nom. Ensuite seulement il ouvre une connexion TLS et envoie une requête HTTP.

💡

La règle simple

Si vous devez préserver un chemin, une URL HTTPS ou un signal SEO, prévoyez une vraie réponse HTTP 301.

Un CNAME peut être utile pour envoyer le trafic vers une plateforme. Il ne remplace pas une règle de redirection, surtout quand le domaine racine, HTTPS ou les chemins applicatifs sont en jeu.

Les risques à éviter avant une migration de domaine

Le premier risque est de croire qu’un changement DNS suffit. Les visiteurs peuvent arriver sur le mauvais virtual host, recevoir une erreur certificat ou perdre le chemin demandé.

Le deuxième risque est la redirection partielle. Une page d’accueil redirigée mais des anciennes URLs en 404 produisent une mauvaise expérience et diluent le signal de migration.

⚠️

Attention au HTTPS

Une redirection HTTPS doit d’abord réussir la négociation TLS. L’ancien domaine doit donc avoir un certificat valide.

Le troisième risque concerne les boucles. Un proxy mal configuré peut rediriger vers lui-même, mélanger HTTP et HTTPS, ou ignorer l’en-tête host envoyé par le client.

Trois architectures fiables pour rediriger un domaine

🌐

Service registrar

Pratique pour une redirection simple, si le fournisseur gère HTTPS et conserve les chemins.

🧱

Nginx ou Apache

Solution claire, auditables, adaptée aux migrations maîtrisées et aux règles par chemin.

☁️

CDN ou edge

Pertinent quand les domaines sont nombreux ou quand les redirections doivent être proches des visiteurs.

Pour une PME ou une plateforme SaaS, le choix dépend surtout du niveau de contrôle attendu. Une redirection unique peut rester chez le registrar. Une migration critique mérite une configuration versionnée et testée.

Voici un exemple Nginx volontairement simple. Il conserve le chemin et la query string, puis redirige vers le nouveau domaine.

server {
    listen 80;
    server_name ancien-domaine.fr www.ancien-domaine.fr;
    return 301 https://nouveau-domaine.fr$request_uri;
}

server {
    listen 443 ssl http2;
    server_name ancien-domaine.fr www.ancien-domaine.fr;

    ssl_certificate /etc/letsencrypt/live/ancien-domaine.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ancien-domaine.fr/privkey.pem;

    return 301 https://nouveau-domaine.fr$request_uri;
}

Bon réflexe

Gardez la règle courte, testez les chemins profonds, et documentez la date de bascule DNS.

Mini-lab : valider la redirection sans risque

Ce test vérifie le comportement sans toucher à la production. Il utilise une résolution locale temporaire et des commandes faciles à supprimer.

✅ Pré-requis du test

Une VM ou un serveur de test avec Nginx.
Un domaine de test ou une entrée locale /etc/hosts.
Une fenêtre de rollback claire avant changement DNS public.
# 1. Tester la réponse HTTP attendue
curl -I http://ancien-domaine.test/demo?src=audit

# Résultat attendu
HTTP/1.1 301 Moved Permanently
Location: https://nouveau-domaine.fr/demo?src=audit

# 2. Vérifier qu'il n'y a pas de boucle
curl -IL --max-redirs 5 http://ancien-domaine.test/demo

# 3. Contrôler les logs Nginx
sudo tail -f /var/log/nginx/access.log /var/log/nginx/error.log

Le rollback est simple tant que le DNS public n’est pas modifié. Supprimez l’entrée locale, désactivez le virtual host de test, puis rechargez Nginx.

sudo nginx -t
sudo systemctl reload nginx
sudo rm /etc/nginx/sites-enabled/redirection-test.conf
sudo systemctl reload nginx

Checklist de migration avant mise en production

✅ Points à valider

Certificat valide pour ancien et nouveau domaine.
Redirection 301 sur HTTP et HTTPS.
Chemins profonds et query strings conservés.
TTL DNS abaissé avant bascule, puis remonté après stabilisation.

Erreurs courantes et dépannage

⏱ Le CNAME ne redirige pas

C’est normal : il crée un alias DNS. Ajoutez une règle HTTP sur la cible.

🔁 La redirection boucle

Vérifiez le host, les règles HTTPS forcées et les en-têtes proxy transmis.

🔒 Le navigateur affiche une alerte SSL

Installez un certificat pour l’ancien domaine avant de renvoyer la 301.

Plan de mise en production sans surprise

Une redirection de domaine paraît simple quand elle est testée sur une page. Elle devient sensible dès que des campagnes, des APIs, des webhooks ou des anciens liens clients dépendent de l’ancien nom.

La première étape consiste à inventorier les chemins réellement utilisés. Les logs du serveur existant, l’analytics et les URLs partagées dans les outils métiers donnent souvent une image plus fiable que la seule page d’accueil.

La deuxième étape consiste à abaisser le TTL DNS avant la bascule. Cela ne rend pas la migration instantanée, mais limite la durée pendant laquelle certains résolveurs gardent l’ancienne cible.

La troisième étape consiste à préparer une fenêtre de surveillance. Pendant les premières heures, suivez les codes HTTP, les erreurs TLS, les hits sur l’ancien domaine et les chemins qui ne redirigent pas correctement.

💡

Indicateurs à regarder

Surveillez les volumes de 301, les 404, les erreurs certificat et les chemins avec paramètres.

Un bon test inclut aussi les robots et les intégrations. Une application peut appeler encore l’ancien domaine avec un host précis, un webhook signé ou une méthode HTTP différente de GET.

Pour les APIs, évitez de transformer automatiquement toutes les méthodes en GET. Vérifiez le comportement attendu pour POST, PUT et DELETE, ou annoncez une coupure propre aux consommateurs concernés.

Cas métiers où la redirection doit être plus stricte

Dans un contexte e-commerce, la priorité est de conserver les fiches produits et les catégories. Une redirection globale vers la nouvelle page d’accueil crée de la frustration et complique le suivi SEO.

Dans un contexte SaaS, les pages de documentation, de connexion et de callback OAuth méritent un contrôle séparé. Certaines URLs ne doivent pas seulement rediriger : elles doivent être migrées dans la configuration applicative.

Dans un contexte infrastructure, les noms utilisés par des scripts, agents ou sondes de supervision doivent être listés avant changement. Une redirection HTTP ne corrigera pas un client qui attend une connexion TCP directe.

🔴

Point bloquant

Une redirection 301 aide le web. Elle ne remplace pas une migration DNS propre pour mail, SSH, bases de données ou APIs internes.

Pour aller plus loin sur l’exploitation Linux

Articles Linux-Man complémentaires

Pour sécuriser la plateforme qui porte la redirection, consultez le guide Ansible et UFW pour Debian.

Pour préparer une démarche de validation avant production, lisez aussi la méthode de validation sécurité en environnement contrôlé.

Aller plus loin après la migration

Quand la redirection 301 s’inscrit dans un chantier plus large, la page déploiements et automatisation serveurs aide à fiabiliser la bascule. La page maintenance serveurs Linux PME couvre les contrôles post-migration. Et pour garder une vue d’ensemble sur le pilotage, l’infogérance Linux pour PME complète l’accompagnement.

FAQ sur la redirection 301 DNS

Peut-on faire une redirection 301 uniquement avec le DNS ?
Non. Le DNS ne produit pas de code HTTP. Il faut une couche web, proxy, CDN ou registrar qui renvoie la réponse 301.
Un CNAME peut-il remplacer une redirection ?
Non. Un CNAME est un alias de résolution. Le navigateur garde l’URL initiale tant qu’une réponse HTTP ne lui demande pas d’en changer.
Faut-il rediriger HTTP et HTTPS ?
Oui. Les deux entrées doivent être prévues, avec un certificat valide pour l’ancien domaine côté HTTPS.
Combien de temps garder l’ancienne redirection ?
Pour une migration sérieuse, gardez-la longtemps. Les anciens liens, favoris, intégrations et robots peuvent continuer à utiliser l’ancien domaine.

Besoin d’une migration de domaine sans casse ?

Linux-Man peut auditer votre DNS, vos certificats et vos règles de redirection avant la bascule.

Contacte-moi →

Laisser un commentaire