DoT DNS over TLS avec Unbound sous Windows

Ni Free, ni d’autres ne pourront désormais accéder à mes requêtes DNS. Elles transitaient en clair vers les serveurs publics de la FDN via le port UDP/53. Ces serveurs que j’utilise avec Unbound sous Windows disposent désormais du DoT ou DNS over TLS sur le port TCP/853. Autrement dit, mes requêtes DNS sont désormais chiffrées de bout en bout.

J’ai eu l’occasion d’expliquer tout le mal que je pensais du DoH, qui n’est un outil supplémentaire proposé par les GAFAM pour pomper vos données personnelles. Même si vous utilisez un serveur DoH vertueux comme celui de FDN, le DNS over HTTPS utilisé dans les navigateurs ne permet pas, comme le permet Unbound, de filtrer par blacklist les domaines dont l’objet est de vous pister à des fins de pillage de vos données personnelles.

Configuration de Unbound pour le DoT

Vous devez ajouter ou décommenter dans la section server: du fichier de configuration de Unbound pour Windows, C:\Program Files\Unbound\service.conf, la directive suivante :

 tls-win-cert: yes

Puis vous devez configurer votre redirection vers les serveurs FDN comme suit :

forward-zone:
 	name: "."
	forward-tls-upstream: yes
        forward-addr: 2001:910:800::12@853
        forward-addr: 2001:910:800::40@853	
 	forward-addr: 80.67.169.12@853
 	forward-addr: 80.67.169.40@853

A l’aide de Wireshark, j’ai pu constater que toute mon activité DNS passait désormais par le Tcp/853.

DoT DNS over TLS avec Unbound sous Windows

Réseau /