J’explique ma demande. J’ai une machine en local avec Yunohost. Je voudrais que cette machine me serve de résolveur DNS local (c’est le cas avec la configuration par défaut et en indiquant aux autres machines du réseau l’IP locale de Yunohost, c’est bon.
Sur cette même machine Yunohost, je voudrais mettre en place DNSSec. DNSSec permet de valider la correspondance “url-IP”. De valider que quand on arrive sur une machine via le nom de domaine, on est “sur la bonne machine vu qu’elle a la bonne IP publique”. De ce que je comprends.
Auriez-vous des conseils, tutoriaux ou autres pour mettre en place DNSSec, le tester, l’utiliser depuis les machines de surf sur le web?
Sachant que ma machine Yunohost est autohébergére derrière une Freebox en NAT (pour l’ip publique IPv4), a une IPv6 publique (et est directement accessible).
Il n’y a pas grand chose à faire côté client pour activer DNSSec. Ça doit être le cas par défaut de Unbound et Bind.
Tu peux vérifier ça en faisant un « dig yunohost.org@127.0.0.1 ». Si les flags indiquent « ad », c’est que c’est sécurisé par DNSSec.
Il suffit du coup de renseigner l’adresse IP du yunohost dans le /etc/resolv.conf (ou via le gestionnaire de réseau, ou via une configuration du DHCP de la box, ou…) sur les postes du LAN pour profiter de DNSSec partout.
(Et peut-être de configurer unbound/bind pour autoriser l’accès en dehors de localhost).
Côté client / Dans le navigateur, on peut installer une extension pour Firefox dnssec-validator.cz qui permet de voir si le site est validé via DNSSEC.
