Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
Mise à jour du 21 août 2021 :
Mise à jour du fichier PDF.
Signatures numériques également mises à jour (signature interne au PDF avec le certificat et signature PGP).
Télécharger le PDF (Fichier de signature PGP)Mise à jour du 20 août 2021 :
Ce tuto a été mis à jour afin de rendre Unbound compatible IPv6.
Aujourd'hui, Unbound ne pose plus aucun problème avec l'IPv6. Il serait donc absurde de s'en passer.
Le PDF sera mis à jour prochainement.
Introduction (petit blabla pour vous convaincre)
Un peu de théorie
Passons à la pratique
Vérifier l'état des services
Configurer la carte réseau
Procéder à un premier test
Explications sur le fichier de configuration
J'ai Windows 10 et Unbound ne fonctionne pas
Exemple avec un site bloqué, pourquoi utiliser un serveur DNS personnel comme Unbound ?
Activer DNSSEC sur son serveur Unbound(Haut de page)IntroductionComme vous l'avez remarqué, ces dernier temps, la France (et tous les autres pays "démocratiques") ne se gêne plus pour bloquer les sites qui dérangent. Et
T411 dans le passé, ou
Ygg aujourd'hui, ne sont pas les seuls dans ces mesures de censure/blocage.
Nombre de personnes recommandent de changer les serveurs DNS de sa configuration mais là encore, ce n'est pas la panacée.
Ceux qui vont opter pour les DNS de Google opteront pour un pistage dans les règles. D'autres DNS vous donneront l'adresse de pages de pub lorsque vous entrerez une adresse inexistante, officiellement pour se financer (ce sont donc des DNS menteurs). etc, etc.
En France, on ne parlera même pas des serveurs DNS de votre FAI qui tombent sous le coup de la loi renseignement et passent donc leur temps à archiver tous les sites que vous visitez.Bref ! Vous l'aurez compris, les DNS sont une véritable jungle et trouver celui qui fera l'affaire relève du parcours du combattant.
Qu'à cela ne tienne... Puisque c'est comme ça, puisqu'on ne peut faire confiance en personne, nous allons installer notre propre serveur DNS et celui là, à part vous, personne ne pourra le faire mentir.
Pour ce faire, nous allons utiliser
Unbound.
Unbound est un serveur DNS pouvant tourner sous Windows. C'est l'équivalent de
BIND qui fait la même chose mais en beaucoup plus simple.
(Haut de page)Un peu de théorie avant de commencer Tout d'abord, vous savez ce qu'est un serveur DNS, n'est-ce pas ? Pour faire simple, c'est une espèce d'annuaire. Ce serveur DNS(Domains Names System) reçoit des noms de domaine et il vous retourne des adresses IP.
C'est comme l'annuaire téléphonique qui reçoit un nom & prénom et qui vous retourne le numéro de téléphone. Le DNS, lui, reçoit un nom de domaine et il vous retourne son adresse IP (il peut faire bien plus, mais on n'est pas là pour entrer dans les détails).
Ouais mais attends. Si j'ai un serveur DNS sur mon PC, où il va aller chercher les réponses ? Mon PC ne connait personne !C'est vrai ! Votre PC ne connait personne, absolument personne. Il contient peut-être quelques adresses IP dans son fichier
hosts mais c'est pas avec ça qu'on va faire le tour de la planète !
Votre serveur DNS va tout simplement faire comme tous les autres DNS de la planète (sauf certains qui bloquent quelques domaines...)
Il va tout d'abord s'adresser à la racine. Sur terre, il existe
13 serveurs DNS racine chargés de vous orienter vers les bons serveurs DNS.
En réalité, il existe beaucoup plus de serveurs répartis sur la planète pour que le système reste rapide. C'est les serveurs de la racine qui délèguent une partie de leur travail à d'autre serveurs. Donc, la racine est bien constituée de 13 serveurs.
Cette liste des 13 serveurs racine est simple : (ne faites pas attention au dernier point ".", ce n'est pas une erreur)
A.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.
N'entrez jamais ces serveurs DNS dans votre configuration réseau, ça ne marcherait pas ! Ces serveurs racine sont spéciaux. Ils ne servent qu'à "déchiffrer" le TLD d'un nom de domaine (.com, .org, .fr, etc.). Ils ne connaissent pas les noms de domaine !
Faisant l'essai avec irc.t411.in qui est actuellement bloqué en FranceNotre serveur DNS perso va interroger la racine qui va lui répondre que le
.in est géré par les serveurs DNS suivants :
c0.in.afilias-nst.info.
b2.in.afilias-nst.org.
b1.in.afilias-nst.in.
b0.in.afilias-nst.org.
a2.in.afilias-nst.info.
a1.in.afilias-nst.in.
a0.in.afilias-nst.info.
Notre serveur DNS va donc maintenant demander au premier serveur de la liste si il connait
irc.t411.in et il obtiendra cette réponse :
hope.ns.cloudflare.com.
bayan.ns.cloudflare.com.
Ouf ! On y a arrive. Notre domaine
irc.t411.in semble connu et notre DNS a la liste des serveurs qui connaissent sont adresse IP.
Notre serveur DNS va donc demander une dernière fois la réponse en utilisant cette dernière liste et il obtiendra :
irc.t411.in. 3600 IN A 88.198.168.163
Et voilà ! En 3 requêtes, notre serveur DNS saura que l'adresse
irc.t411.in a pour IP
88.198.168.163 et il n'aura questionné aucun DNS qui n'est pas nécessaire.
Comme vous l'aurez remarqué, notre DNS n'a questionné ni votre FAI, ni Google, ni personne d'autre pouvant être jugé comme "peu fiable".
Votre serveur DNS interrogera toujours les
serveurs DNS faisant autorité. Cela signifie qu'il n'interrogera que les serveurs connaissant la vérité.
Un serveur DNS qui représente l'autorité ne vous mentira pas, sauf cas exceptionnel, mais c'est très, très rare.
Les serveurs DNS de votre FAI/ISP ne sont en aucune façon une autorité ! Même les serveurs DNS de Google ne font pas autorité, ce ne sont que de simples relais de l'information.(Haut de page)Passons à la pratique !Pour l'instant, posez tous vos téléchargements sur le bureau. On s'en occupera après. D'abord on télécharge tout ce qu'il faut et ensuite on réparti là où il faut.
Tout d'abord, vous allez avoir besoin de Unbound, bien entendu.
Téléchargez le à l'adresse suivante :
https://unbound.net/download.html Sélectionnez bien la version pour windows ! (Attention, le premier lien concerne les versions 64 bits de Windows. Le 32 bits est à droite)Ensuite, nous allons avoir besoin de la liste des 13 serveurs DNS de la racine.
Faites un clic droit sur le lien ci dessous et sélectionnez
Enregistrer la cible sous... (ou
Enregistrer le contenu lié sous...)
Vous pouvez également cliquer directement sur le lien, puis copier/coller la page qui s'affiche dans un fichier texte que vous appellerez
named.cachehttps://www.internic.net/domain/named.cacheEt enfin, nous allons charger un fichier de configuration tout prêt préparé par votre serviteur. Cliquez sur le lien ci dessous et téléchargez le fichier, toujours sur votre bureau.
Fichier de configuration service.conf pour windows 32 bitsFichier de configuration service.conf pour windows 64 bits -
Pour une toute nouvelle installation, c'est ce fichier qu'il vous faut, que ce soit Windows 32bit ou 64bit.(Pour les personnes ayant déjà Unbound installé)
Fichier de configuration service.conf pour windows 64 bits et Unbound installé dans
/program files (x86)/ (
Update (mise à jour) pour Unbound < v1.6.2 vers v1.6.2 ou plus)
Nous reparlerons de ce fichier de config plus loin.Si vous avez peur que j'ai trafiqué ce fichier, copiez/collez la config ci dessous dans un fichier texte que nous appellerons
service.conf (pour Windows 32 bits)
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Si vous avez peur que j'ai trafiqué ce fichier et que vous avez un Windows 64 bits, copiez/collez la config ci dessous dans un fichier texte que vous appellerez
service.conf (pour Windows 64 bits avec installation dans
/program files (x86)/)
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files (x86)\Unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files (x86)\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Installation de UnboundVous allez voir, c'est très simple et rapide. Double cliquez sur l'installer Unbound et installez tout sans rien toucher.
Attention ! Si vous modifiez le chemin d'installation, le fichier de configuration ne conviendra plus !Maintenant, pour
Windows 32 ou 64 bits, ouvrez le dossier "
c:\program files\unbound\" et copiez-y les fichiers
named.cache et
service.confPour
Windows 64 bits, dans le cadre d'une mise à jour ou d'une réparation d'une vieille version de Unbound (Version < 1.6.2), ouvrez le dossier "
c:\program files (x86)\unbound\" et copiez-y les fichiers
named.cache et
service.confSi les fichiers existent déjà, renommez les ou supprimez les.
(Haut de page)Rendez vous maintenant dans les services. Appuyer sur
Win +
R ou cliquez sur
Démarrer puis
Exécuter et entrez ce qui suit :
Recherchez le service
Unbound DNS validator dans la liste.
Vérifiez que ce service est bien sur "
Automatique" (1). Si il n'est pas en "
Démarré" (2), cliquez sur "
Démarrer" (3) sinon, cliquez sur "
Redémarrer" (3) afin que le fichier de configuration soit chargé.
Si le service n'est pas en "
automatique", double cliquez sur le nom
Unbound DNS validator et sélectionnez le mode de démarrage "
Automatique" puis cliquez sur "
Appliquer".
(Haut de page)C'est bientôt fini, paramétrons notre carte réseau ! Assurez vous que le service unbound est bien démarré ! Si ce n'est pas le cas, démarrez le comme expliqué ci dessus.
Si le service refuse de démarrer, vous avez un problème, n'allez pas plus loin et contrôlez votre fichier de configuration,
service.conf, ainsi que la présence et le contenu de
named.cache.
N'hésitez pas à poser des questions en cas de problème. Les invités peuvent poster.On touche à la fin. Allons dans les connexions réseau afin de pouvoir utiliser notre DNS.
Appuyer sur
Win +
R ou cliquez sur
Démarrer puis
Exécuter et entrez ce qui suit :
Double cliquez sur votre carte réseau (Le plus souvent, elle s'appelle "
Connexion au réseau local") et cliquez sur "
propriétés".
Sur l'onglet "
Gestion de réseau" sélectionnez "
Protocole internet version 4 (TCP/IPv4)" et cliquez sur "
Propriétés" (Pas IPv6 !).
Pour finir, dans la partie
DNS (2) entrez l'adresse
127.0.0.1 comme serveur DNS préféré. Vous pouvez laisser le deuxième champ vide où y mettre le DNS de votre choix, il y a peu de chances qu'il soit utilisé.
Rendez-vous également sur la ligne "
Protocole internet version 6 (TCP/IPv6)" et cliquez sur "
Propriétés".
Entrez l'adresse de serveur DNS
::1 comme indiqué ci-dessous, sur la capture.
Si des adresses de serveurs DNS sont déjà présentes, notez les (au cas où) et supprimez les. Il s'agit des DNS de votre FAI dont nous ne voulons plus.
N'hésitez pas à répéter ces opérations sur votre carte WIFI si votre PC en est équipé (optionnel, c'est vous qui voyez).
*** OPTIONNEL ***
La partie 1 ne sera à modifier que si vous souhaitez que votre DNS soit accessible à partir de votre réseau local, depuis d'autres ordinateurs ou smartphones.
Dans ce cas, il vous faudra choisir une adresse IP fixe. Cette adresse et celle de la passerelle dépendront de votre réseau local et de l'adresse de votre box.
Ouvrez le fichier
service.conf de Unbound et ajoutez une ligne
interface: votre adresse locale sous la ligne
interface: 127.0.0.1 et redémarrez le service Unbound pour que la modification soit prise en compte.
(Haut de page)Vous pouvez maintenant valider et procéder à votre premier essai.
Appuyer sur
Win +
R ou cliquez sur
Démarrer puis
Exécuter et entrez ce qui suit :
Une fenêtre MS-DOS s'ouvre. Entrez ce qui suit pour vider votre cache DNS:
Puis entrez ceci pour faire un essai:
Il est possible que le serveur affiché ne soit pas
localhost mais
Unknown. Ce n'est pas grave si votre DNS n'a pas de nom, cela vient du contenu du fichier hosts de votre machine. Le principal est l'adresse du serveur.
Le serveur DNS utilisé pour le test est bien le 127.0.0.1 ou le ::1 ? Alors c'est tout bon, votre serveur DNS perso fonctionne à merveille !
Dorénavant, vous n'aurez plus à vous soucier des différents blocages DNS des FAI de France et d'ailleurs de même que les DNS menteurs seront bientôt un vieux souvenir.
Si vous êtes parano, vous imaginerez que votre serveur DNS est moins rapide que les autres. Votre serveur va faire de la mise en cache, c'est à dire qu'il va mémoriser les résultats qu'il a déjà obtenu et il va devenir bien plus rapide que tous les autres, puisqu'il aura les résultats directement sous le nez, et non chez votre FAI ou ailleurs.
La preuve que votre DNS est très rapide, en image : (le serveur ayant l'adresse 192.168.0.2 est le même que 127.0.0.1 mais il est accessible sur mon réseau local par tous les appareils connectés (en wifi, par exemple).
(Haut de page)Éclaircissements sur le fichier de configuration donné dans ce tuto
Revenons sur le fichier de configuration que vous avez installé.
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
Cette partie demande au serveur de ne pas enregistrer les requêtes DNS dans le fichier
unbound.log. Seuls les arrêts/démarrages, erreurs et quelques chiffres seront enregistrés dans ce fichier.
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
Le serveur sera accessible sur les adresses IP
127.0.0.1 et
::1 via le port
53 (les requêtes DNS s'effectuent sur le port 53, ne le modifiez pas).
Le serveur sera également accessible depuis votre réseau local si vous ajoutez une ligne
interface: adresse localeIl utilisera les protocoles UDP et TCP et l'IPv4 ainsi que l'IPv6.
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
Cette partie est avant tout dédiée à la sécurité de votre serveur. Il n'est pas conseillé d'y toucher à moins de savoir ce que l'on fait.
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
Cette partie concerne la mise en cache et influe directement sur la vitesse de votre serveur. Comme pour la sécurité, ne la modifiez que si vous savez ce que vous faites.
root-hints: "C:\Program Files\Unbound\named.cache"
Cette ligne désigne l'emplacement du fichier contenant la liste des serveurs DNS racine.
Cette liste change très, très rarement. Si votre serveur venait à retourner des erreurs en relation avec cette liste dans le futur, il vous suffira de charger la nouvelle (l'adresse du serveur où obtenir cette liste se trouve dans le fichier lui même).
Si votre serveur semble mal fonctionner (il retourne des erreurs ou devient beaucoup plus lent), c'est qu'il y a un problème avec la racine. Chargez la nouvelle liste des serveurs racine dans le fichier named.cache et redémarrez le service unbounb.Je vous le répète. L'adresse des serveurs racine change très, très rarement. Il est plus profitable d'avoir cette liste dans un fichier pour avoir un serveur DNS rapide. #local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
En commentaires, vous trouverez un exemple de "DNS menteur". Ici, le domaine
exemple.net retournera l'IP
127.0.0.1Bien entendu, installer un serveur DNS pour en faire un DNS menteur est totalement ridicule, vous en conviendrez...
J'ai placé cet exemple afin que vous sachiez comment procèdent les FAI quand ils bloquent un domaine et décident que leurs DNS vont devenir des menteurs.
Posséder son propre serveur DNS, c'est aussi avoir la liberté de lui faire répondre des mensonges...
Par contre, en matière de DNS menteur, la très grosse utilité de posséder son propre serveur DNS est de pouvoir le faire mentir pour les domaines connus affichant de la pub, comme doubleclick, par exemple.Vous pouvez également bloquer les sites de cul préférés de votre ado si celui ci est un peu trop jeune.
ATTENTION !Après chaque modification de la configuration, le service Unbound doit être redémarré afin qu'il charge le fichier modifié.
(Haut de page)J'ai Windows 10 et Unbound ne fonctionne pas
Sous Windows 10, des problèmes ont été rapportés mais ne concernent pas tout le monde. Sous ce système d'exploitation, ça peut marcher comme ça peut ne pas marcher.
Ne me demandez pas pourquoi, je suis bien incapable de vous répondre. En plus, je ne possède pas Windows 10.
Ceci dit, vous pouvez toujours essayer ce qui suit avec votre Windows 10 si tout est correctement installé mais que Unbound refuse de fonctionner :Ouvrez le
gestionnaire des tâches (
CTRL +
ALT +
SUPPR) et allez dans les
processus.
Faites un
clic droit sur Unbound suivi de
propriétés.
Allez sur l'
onglet compatibilité et lancez la
résolution des problèmes de compatibilité en acceptant tout ce qui est proposé.
Théoriquement, cela devrait marcher. Sinon, n'hésitez pas à poser vos questions.
Pourquoi utiliser un serveur DNS personnel comme Unbound ?
Au mois de juillet 2017, la justice française a ordonné le blocage de 4 sites de streaming ou de téléchargement (en France). Les fournisseurs d'accès sont chargés de ce blocage.
Bien entendu, les FAI/ISP ont fait au plus simple en effectuant un blocage DNS.
Comme vous l'aurez remarqué, cette censure est passée totalement inaperçue et a été mise en oeuvre dans la plus grande des discrétions. Aucun média n'a parlé de ces blocages qui deviennent de plus en plus nombreux.
Prenons l'exemple du site
allomovies.com dont j'ai appris l'existence en lisant la décision de justice (Ne rigolez pas, c'est vrai).
Regardons en images :En utilisant les serveurs DNS de NUMERICABLE
(1), le serveur retourne la réponse
NXDOMAIN (2), ce qui signifie
Non-Existent Domain ou
domaine inexistant en français.
Il n'y a pas de réponse pour l'adresse demandée, elle n'existe pas. Le navigateur des internautes va afficher une erreur disant que le site n'existe pas et l'internaute passera son chemin sans se poser de questions.
Par contre, pour ceux utilisant leur propre serveur DNS, la chanson est différente...
En utilisant Unbound
(3), on s'aperçoit que le site existe bel et bien et que ses serveurs DNS répondent correctement
(4), ce qui permettra de se rendre sur le site !
Ce type de censure est sournoise. Comme je l'ai dit, l'internaute qui utilise les DNS de son FAI/ISP aura un message d'erreur l'informant que le site n'existe pas. Dans le meilleur des cas, il fera une recherche Google, apprendra que le site est bloqué et il se résignera.
Dans le pire des cas, l'internaute ne cherchera pas à comprendre ou ne trouvera pas de réponse à ses questions et il se résignera également.
Avec un DNS personnel, la question ne se posera même pas, le site existe et l'internaute peut le visiter.
(Haut de page)Activer DNSSEC sur son serveur Unbound
DNSSEC est un système de protection contre l'empoisenement du cache DNS. Je vous explique.
Le DNS, dans l'état où il existe, est vulnérable. Ce n'est pas spécifique à Unbound, mais à tous les serveurs DNS de la planète.
Cela consiste à bombarder un serveur DNS de requêtes pour que le serveur qui pose une question ne puisse plus faire la différence entre le serveur officiel qui répond et le faux serveur qui répond n'importe quoi.
Vous vous retrouvez sur un site qui a exactement l'adresse demandée mais qui n'est pas du tout ce site !
DNSSEC permet d'ajouter des signatures aux réponses obtenues afin de vérifier que la réponse est belle et bien officielle. Pour info, chez oim utilise DNSSEC.
Passons à l'activation de DNSSEC sur notre serveur !Vous allez voir, c'est simple.
- Ouvrez le dossier dans lequel
Unbound.exe est installé.
Il s'agit soit de
C:\Program Files\Unbound\ ou de
C:\Program Files (x86)\Unbound\Notez bien ce dossier ! Vous en aurez besoin plus tard !Dans ce dossier, repérez le programme
unbound-anchor.exe et exécutez le en double cliquant dessus. Vous verrez apparaitre un fichier
root.key dans le dossier.
Ensuite, ouvrez le fichier
service.conf.
La ligne pour
DNSSEC est déjà présente si vous utilisez le fichier donné ici dans ce tuto.
Il s'agit de cette ligne :
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
OU
#auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"
Retirez simplement la dièse, (
#), en début de ligne et enregistrez.
Vous n'avez plus qu'à redémarrer le service Unbound et à tester que tout fonctionne correctement.
Maintenant, il faut vérifier que DNSSEC est bien pris en charge par votre serveurs DNS, rendez-vous à cette adresse : (si vous testez les DNS de votre FAI/ISP, il y a peut de chances que ça fonctionne...)
https://www.rootcanary.org/test.htmlSur la page qui s'affiche, un peu de patience va vous être demandée. Votre DNS Unbound est en train d'être testé, soyez patient !
Passé un délai de quelques minutes, vous devriez obtenir quelque chose de similaire à ceci :
Un test plus simple est possible à cette adresse :
https://dnssec.vs.uni-due.de/Un gentil troll va se charger de vérifier votre installation DNS. Laissez-le faire, c'est un gentil troll que je vous ai dit
Cliquez sur le bouton
Start Test et patientez.
Si vous obtenez cette image, malheureusement, DNSSEC n'est pas pris en charge, vous avez fait une erreur... N'hésitez pas à poser une question.
Vous n'êtes pas protégé et vous êtes donc une victime potentielle.
Par contre, si vous obtenez cette image, bravo ! DNSSEC est pris en charge par votre DNS Unbound.
Vous êtes protégé. Les enfoirés du net ne vous atteindrons pas.
Vous pouvez également effectuer un test plus complet à cette adresse :
http://en.conn.internet.nl/connection/En bas de page, vous devriez obtenir un résultat comme le suivant :
Haut de page