La scorsa settimana, seguendo la guida “Use DNS over TLS” presente su Fedora Magazine, mi sono messo a modificare il file /etc/systemd/resolved.conf
Ho deciso di apportare queste modifiche al fine di abilitare il protocollo DoT dopo aver fatto un test sulla pagina Cloudflare ESNI Checker… in realtà avevo già abilitato il protocollo DoH integrato su Firefox, ma volevo utilizzare il protocollo anche con altri programmi.
Il problema è che mi è già capitato di imbattermi in un dominio che DNSSEC non riesce a validare… anche impostando dei parametri meno restrittivi come, ad esempio:
DNSOverTLS=opportunistic
DNSSEC=allow-downgrade
riscontro lo stesso tipo di errore che riesco ad aggirare soltanto disabilitando DNSSEC.
Ci sarebbe un modo per aggiungere il dominio che mi da questo problema ad una lista di eccezioni? Mi è sembrato di capire che sia possibile farlo con Unbound, ma la documentazione che ho trovato a riguardo non mi è stata molto d’aiuto. Almeno per il momento ho preferito tenere disattivato DNSSEC.
Ora ho il dubbio che tenere disabilitato DNSSEC possa influire negativamente sul funzionamento del protocollo DoT, anche se quest’ultimo risulta essere abilitato.