Pihole/Unbound flaggt alle ungeblockte Verbindungen als Insecure

weltyx · 6. Juni 2023 um 10:13

Hallo,

ich habe gemäß der letzten Anleitung von Tschaeggaer Pihole/Unbound Bullseye auf dem Pi installiert.

DNSSEC funktioniert gemäß den bekannten Tests:
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335 → Antwort „SERVFAIL“
und
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335 → Antwort mit dem „ad“ Flag.

Seit einem der letzten Updates werden jetzt im Log des Pi’s alle Verbindungen, die nicht geblockt wurden, als „insecure“ geflaggt.

Es ist doch kaum anzunehmen, dass plötzlich keine Webseiten mehr DNSSEC eingebunden haben.
Hat jemand eine Erklärung? Habe ich etwas übersehen/falsch verstanden?

bummelstein · 13. Juni 2023 um 15:31

Die Anzeige bringt bei der Anleitung nicht viel, weil Unbound DNSSEC macht und Pi-hole nicht. Daher steht das immer da. Davon abgesehen ist DNSSEC nun auch nicht so weit verbreitet.

Angleatild · 14. Juni 2023 um 06:29

Ich hab jetzt auch diese „Insecure“ Flags. Wusste auch nicht so recht, was ich damit anfangen sollte. Aber in dem Fall sind das wohl die angesurften Adressen, die kein DNSSEC verwenden, also bei dem von dir genannten Test keine „ad“ Flag erhalten. Handlungsbedarf sehe ich bisher nicht.

weltyx · 14. Juni 2023 um 12:12

Vielen Dank Bummelstein und Angleatild für eure Antworten.

Was ich nicht verstehe ist, dass wie ich jetzt im Vergleich sehen konnte, dass dieses Problem erst seit dem letzten oder vorletzten Update von Pihole nach „pihole -up“ auftaucht.
Das sind jetzt die Versionen:
Pi-hole v5.17.1 FTL v5.23 Web Interface v5.20.1.
2.
Da Unbound DNSSEC macht meine Frage, ob die erfolgreichen Rückmeldungen mit den
„dig…“ Commands als Bestätigung ausreichend sind, dass DNSSEC tatsächlich läuft?
3.
Wenn aber die meisten Domains immer noch kein DNSSEC aktiviert haben, welchen Sinn macht dann DNSSEC zur Absicherung der DNS-Verbindung?
4. @Bummelstein:
Das Fazit aus der FAQ im Tutorial gilt immer noch:
DoH bzw. DoT sind Pihole/Unbound hinsichtlich der Security nicht wesentlich überlegen - hinsichtlich der Privacy aber deutlich unterlegen?
Korrekt wieder gegeben?

bummelstein · 21. Juni 2023 um 08:59

Es war vorher genauso, nur wird es jetzt angezeigt.
Ja.
Zumindest bei den Domains, die DNSSEC einsetzen, würde Unbound merken, ob die Resource Records korrekt sind.
Unbound ist mindestens genauso sicher, wie ein per DoT kontaktierter Nameserver. Der Pi steht lokal bei dir, womit der Übertragungsweg hoffentlich sicher ist. Bloß mit Unbound musst du dem Nameserver nicht mehr vertrauen, sondern betreibst diesen selbst – eine Station weniger, die böse sein könnte. Hinsichtlich Privacy kann man zusammenfassend fast nur sagen, dass es anders und damit recht schwer zu vergleichen ist.

weltyx · 3. Juli 2023 um 09:53

Verspätet noch vielen Dank an Bummelstein für die präzisen Antworten auf alle meine Fragen.
Ganz toll - und hilft mir zum Verständnis sehr weiter! Klasse!