Vypnutí přeposílání DNS dotazů na DNS servery UPC Vám mělo pomoct, ale jestli už jste stránky na nějakém zařízení načetl, tak je nutné dané zařízení restartovat a následně se na dané stránky již bez problémů dostanete.
Technologie DNSSEC rozšiřuje systém DNS o funkce, které zvyšují jeho bezpečnost.
Proč mít zapntuý DNSSEC najdete na stránkách https://www.dnssec.cz/, kde nejenom, že je to dobře vysvětlené, ale také zde najdete krátké video s vysvětlením, co je to vlastně ten DNSSEC.
Už je to zhruba měsíc, kdy došlo k napadení stránky pro Ethereum peněženku pomocí DNS Cache Poisoningu, pokud by používali DNSSEC, tak je možné, že by se danému útoku předešlo.
Podpora DNSSEC na routerech Turris je vyžadována pro správnou funkci, aby se předešlo takovýmto problémům. Bohužel, pokud ISP nepodporuje DNSSEC nebo jej má na implementovaný “prostě nějak”, tak řešením je doopravdy vypnutí forwardingu s tím, že se Turris bude ptát na informace přímo autoritativních serverů.
Pokud by byl forwarding zapnutý, tak se dotazy posílají na DNS server Vašeho poskytovatele. Server na dotaz může odpovědět přímo ze své lokální cache takže odpověď dostanete rychleji a nebo dotaz pošle dál do internetu.
Také se to dá obejít změnou DNS serverů, které podporují jak DNS over TLS, tak DNS over HTTPS např. Cloudflare, které využívá Knot Resolver a najdete jej také na routeru Turris Omnia.
Možnost změny DNS serverů ve Forisu, které podporují DNS over TLS připravujeme pro oba routery tedy pro Turris 1.x, který používá unbound a také pro Turris Omnia, který používá již zmíněný Knot Resolver.