
He configurado Unbound para usar DNS sobre TLS usando la siguiente configuración. ¿Cómo puedo configurar Unbound para validar el certificado ascendente con un nombre de host?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
Respuesta1
El informe de error para agregar soporte para validar el certificado del servidor DNS ascendente se resolvió el 19 de abril de 2018.
Adaptando el ejemplo decomentario 9:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
También hay una explicación de cómo funciona: el nombre del hashtag permite configurar el nombre de autenticación tls para zonas stub y con comandos de control directo de control ilimitado. No debe haber espacios alrededor de '@' y '#'.
Respuesta2
Desafortunadamente, no puedes. Hay un error sin resolver para esto:
el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor
Entonces, con Unbounds DNS sobre TLS, sus solicitudes pueden ser interceptadas.
Respuesta3
El error "el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor" se resolvió el 19 de abril de 2018:
Autenticación TLS para reenviadores.
La sintaxis es forward-addr: [@port][#tls-authentication-name] Y el paquete ca se puede configurar con: tls-cert-bundle: "ca-bundle.pem" (o el archivo ca-bundle.crt ).
Servidor de ejemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de avance: nombre: "." forward-tls-upstream: sí forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com
El truco del nombre del hashtag hace que el nombre de autenticación tls también se pueda configurar, por ejemplo. zonas auxiliares y con comandos de control avanzado de control ilimitado. También fue más fácil en el código. No debe haber espacios alrededor de '@' y '#'.
El número de puerto es [...] 853 cuando especifica un nombre de autenticación tls. (Y todavía 53 para otros).
Árbitro:comentario 9.