Ich schätze mal, das ist bei DietPi nicht nötig. Die Dateien existieren nicht, eventuell weil das Paket resolvconf o.Ä. gar nicht erst installiert ist.
Den angegebenen Logs nach stimmt alles, und dem Status nach läuft Unbound.
Es gibt nur zwei Warnungen, die du ignorieren kannst. Die treten bei der verwendeten Konfiguration eben auf.
ServFail. Ich glaube, das bezieht sich auf „to serve“, nicht auf Server. Es kann nicht „ausgeliefert“ werden, weil etwas mit dem DNS Eintrag nicht stimmt, bzw. er nicht validiert (DNSSEC) werden kann (siehe weiter unten).
Einen servfail erhälst du für dnssec.works momentan auch, wenn du es über Quad9 (9.9.9.9), Google (8.8.8.8) oder Cloudflare (1.1.1.1) testest.
Bzw. ist das das Ergebnis, welches der DNS Resolver dem dig Befehl mitteilt.
Für die beiden letztgenannten Server findet sich dabei eine wichtige Info in der „;; OPT PSEUDOSECTION:“, aus der Ausgabe vom dig Befehl.
$ dig dnssec.works @8.8.8.8
[...]
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; EDE: 7 (Signature Expired): (for DNSKEY dnssec.works., id = 41779: RRSIG dnssec.works., expiration = 1721570770)
; EDE: 18 (Prohibited)
;; QUESTION SECTION:
;dnssec.works. IN A
[...]
$ dig dnssec.works @1.1.1.1
[...]
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 7 (Signature Expired): (Expired RRSIG found for dnssec.works/a (keytag=63735))
;; QUESTION SECTION:
;dnssec.works. IN A
[...]„(Signature Expired): (for DNSKEY dnssec.works. […])“
Die Leute/Person hinter dnssec.works kümmern bzw. kümmert sich (momentan, bzw. seit mindestens 6 Tagen (date --date='@1721570770') wohl nicht darum, dass die Signatur gültig und aktuell ist. Deren verschulden, kein Problem mit deinen DNS Resolver (Unbound).
Stattdessen kannst du das alles auch am „ad“ Flag erkennen, dass dir dein Unbound Server sagt, dass die DNSSEC Signatur valide ist.
$ dig kuketz-blog.de @127.0.0.1 -p 5335
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61593
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1Eine Seite ohne korrekt konfigurierten, und von deinen Resolver validierten DNSSEC würde kein ad-Flag haben. Da dein Unbound lokal auf deinen Rechner läuft, musst du dir da eigentlich auch keine Gedanken über manipulierte Anfragen machen.
Seiten mit denen du das testen kannst: tchncs.de, kuketz-blog.de, mailbox.org - alle davon verwenden DNSSEC. Wenn du den status „NOERROR“ erhältst, und ein AD Flag, stimmt soweit alles.
Und dadurch, dass du auch eine Fehlermeldung bei dnssec.works momentan bekommst, zeigt sich, dass DNSSEC richtig funktioniert, und dein Resolver keine abgelaufenen Signaturen akzeptiert. 