Domaines

Vérifier un domaine

Ajoute un nom d'hôte dans Tableau de bord → Domaines. Choisis l'une des deux méthodes de vérification :

• DNS TXT : ajoute un enregistrement sur _fixweb.<hostname> avec le token que nous générons. Nous le résolvons depuis notre serveur, pas depuis le tien, donc les réglages SPF / DMARC n'interfèrent pas. Propagation typique : 1 à 5 minutes ; nous revérifions toutes les 30 secondes pendant 10 minutes.
• Fichier HTTP : héberge un petit fichier texte sur /.well-known/fixweb-verification.txt avec le token. Nous le récupérons en HTTPS via le chemin de requête protégé contre le SSRF.

Les vérifications sont revérifiées quotidiennement par le cron domain-reverify. Si un domaine précédemment vérifié cesse de résoudre le token (par exemple si tu as supprimé l'enregistrement DNS), la vérification est révoquée et les scans actifs contre ce domaine repassent à verify_required jusqu'à ce que tu l'ajoutes de nouveau.

Re-scans planifiés Pro+

Le plan Pro peut re-scanner un domaine vérifié à une cadence ≥3h ; le plan Unlimited à ≥1h. Ouvre Tableau de bord → Domaines → Planifier, active l'interrupteur, choisis une cadence :

• 1 heure — disponible uniquement sur le plan Unlimited
• 3 h, 6 h, 12 h, quotidien, tous les 2 jours, hebdomadaire

À chaque tick cron (toutes les 15 min), le planificateur récupère les planifications échues, les revendique via un compare-and-swap optimiste sur next_run_at (ainsi deux crons ne peuvent pas doubler l'enqueue), incrémente ton compteur d'utilisation de scans et met en file un nouveau scan passif. Le scan hérite de ton attestation de vérification de domaine : tu n'attestes pas à chaque exécution ; désactive donc la planification pour la révoquer.

Une fois terminé, l'email de scan terminé est envoyé selon la préférence scheduled_scan_email (à gérer dans Compte → Paramètres).

Détection des menaces en direct Unlimited+

Le plan Unlimited surveille automatiquement chaque domaine vérifié pour trois signaux entre les scans programmés :

• Certificate transparency : toutes les 30 minutes, nous interrogeons crt.sh pour trouver de nouveaux certificats contenant ton nom d'hôte ou tout sous-domaine. Les nouveaux certificats déclenchent une alerte new_certificate.
• Diff DNS : toutes les 30 minutes, nous résolvons A, AAAA, MX, TXT, NS, CNAME et comparons avec le dernier snapshot. Les changements déclenchent une alerte dns_change.
• Threat intel : toutes les heures, nous vérifions Spamhaus DBL et URLhaus pour les inscriptions du nom d'hôte apex. Les inscriptions déclenchent une alerte threat_intel_listing.

Les alertes sont dédupliquées par une signature de hash de contenu, afin qu'une redétection du même changement ne redéclenche pas l'alerte. Consulte / ignore les alertes dans Tableau de bord → Domaines → [domaine] → Monitor. Les notifications email suivent la préférence threat_alert_email.

Rétention des snapshots

Les snapshots de monitor sont automatiquement purgés après 7 jours, sauf la baseline la plus récente par paire (domaine, type de signal) : celle-ci reste quel que soit son âge pour que le diff suivant soit correct. Les alertes ignorées sont purgées après 90 jours.

Déclencher depuis l'API ou MCP

La gestion des domaines est actuellement uniquement dans l'interface : aucune surface API pour la vérification ou les changements de planification. Pour lancer un scan sur un domaine déjà vérifié via l'API, utilise POST /api/v1/scans :

curl -X POST https://fixweb.app/api/v1/scans \
  -H "Authorization: Bearer fxw_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://example.com"}'