Validation result is INSECURE

Hallo

Ich wollte auch mal die deutsch Kategorie ausprobieren :smiley:
Also stell ich mal hier meine Frage.
Heute Morgen hab ich mir mal das PiHole.log Live File im Dashboard angeschaut und dabei etwas festgestellt.
Zuerst muss ich allerdings noch dazu sagen das ich das Update von dnsmasq. was heute in der Repo. war auch ausgef├╝hrt hab und mein Config File beibehalten hab.

Ich benutze DNSSEC mit dem DNS.Watch Primary und Secondary Server.
Folgendes hab ich immer wieder im Log File lesen m├╝ssen

Apr 15 10:05:26 dnsmasq[1482]: query[A] www.pcmasters.de from 192.168.178.23
Apr 15 10:05:26 dnsmasq[1482]: forwarded www.pcmasters.de to 84.200.69.80
Apr 15 10:05:26 dnsmasq[1482]: validation result is INSECURE

Bei manchen Seiten steht anstatt Insecure, Secure das erscheint mir richtig, nicht aber Insecure.
Mache ich irgendwas falsch oder wie soll ich diesen Auszug verstehen?

Liebe Gr├╝├če

DNSSEC ist leider immer noch nicht in allen Hinsichten korrekt in dnsmasq implementiert. Wir haben intensive Diskussionen ├╝ber dieses Thema im Forums laufen.

Aufgrund der vielf├Ąltigen Probleme empfehlen wir (d.h. das Pi-hole Entwicklerteam) aktuell niemandem DNSSEC f├╝r den allt├Ąglichen Gebrauch zu verwenden (im wesentlichen also nur f├╝r zeitlich begrenzte Experimente). Falls Du ein ausreichend gro├čes Interesse daran hast, liste ich Dir hier ein paar lesenswerte Diskussionen auf:

Interessante Sache.
Anscheinend ist das ganze gar nicht mal so einfach und man muss wirklich vieles beachten. Wenn ich das richtig verstehe macht DNSSEC nur Sinn wenn ich DNSCrypt verwende?
Und DNSSEC funktioniert wohl auch nur teilweise auf einem Dnsmasq. Der nicht stable ist.

Ja, ich denke das ist die richtige Schlussfolgerung. Es kommt stark auf das pers├Ânliche "Bedrohungsgef├╝hl" an. Wenn man der Meinung ist, dass der Internetprovider einen ganz spezifisch aussp├Ąt, dann reicht dieses aber wohl auch nicht aus - er kann dann zwar nicht mehr mitlesen was Du nachfragst, aber natprlich kann er weiterhin sehen mit wem Du kommunizierst.

Ja ... wie gesagt ...

D.h. auch von uns verwendet es niemand produktiv (z.B. zuhause) :wink:

I trust somebody (DL6ER?) will translate this.

dnsmasq v2.76-5 only has a problem if you also use dnscrypt, otherwise it will work fine.
There are four states that dnsmasq will report:

  • SECURE: the dns entry has valid DNSSEC records associated with it
  • INSECURE: most dns entries have no DNSSEC records associated with them, but there is not really a problem, although it is not secure.
  • BOGUS: The dns entry OR/AND the associated DNSSEC records have been tampered with, dnsmasq will see this -> no access
  • ABANDONED: the dns entry has DNSSEC records associated with it, but they have expired -> no access

If you want to use dnsmasq + dnscrypt + DNSSEC, you need a test release of dnsmasq (v2.77test4). I have been running it for over two months now, without any problems, dnsmasq & dnscrypt work perfectly with DNSSEC enabled.

If you want to install dnsmasq v2.77test4 (on raspbian jessie lite - builds january, february, march OR april 2017) you can use this script to upgrade (somewhere near the end of the topic). Beware, the script has no error handling!

If you are working on this and would like to comment on this issue (the first item only about adding "ntpd -gq" in the start part of the dnsmasq deamon) , that would be greatly appriciated.

Thanks for this explanation.
So DNSSEC is working with the actual dnsmasq Version. But when i want to use it with dnscrypt i have to use the Experimental version of dnsmasq.

Wenn jemand eine ├ťbersetzung w├╝nscht, dann einfach fragen :slight_smile: