Des requêtes DNS chiffrées en TLS avec Unbound
14 mars 2021
Plutôt que d’utiliser DNSCrypt dont je vous ai parlé en long, en large et parfois de travers, vous pouvez chiffrer vos requêtes vers un serveur DNS public de votre choix avec Unbound en utilisant le chiffrement TLS. Vous éviterez ainsi de vous faire renifler par des gens mal intentionnés !
Le choix de votre serveur DNS TLS
Je suis tombé sur le site Do-It-Yourself Internet Service Provider, une initiative dont l’objet est de mettre en place des outils respectueux de la neutralité de l’Internet. Accessoirement, il vous donne une liste de serveurs DNS publics en mode TLS.
J’ai, pour ma part, fait le choix du serveur DNS proposé par LDN Lorraine Data Network qui fait partie du réseau FDDN. Un grand merci à eux. Il dispose de deux adresses : 2001:913::8 pour l’IPv6 et 80.67.188.188 pour l’IPv4. Le serveur DNS accepte les requêtes chiffrées sur le port TCP/853. Il propose aussi le DoH DNS over Https.
Configuration de Unbound
J’ai, une fois encore, cherché très compliqué là où finalement c’était extrêmement simple à configurer. Dans la mesure où Unbound s’exécute sous Windows, j’ai modifié mon fichier C:\Program Files\Unbound\service.conf comme suit :
forward-zone: name: "." forward-tls-upstream: yes forward-addr: 2001:913::8@853 forward-addr: 80.67.188.188@853
Contrôle avec WireShark
Après avoir redémarré le service, j’ai lancé une requête DNS à l’aide de la commande nslookup. Je me suis alors rendu compte qu’elle était désormais chiffrée en mode TLS.
