¿Cómo configurar Unbound para validar un certificado de servidor DNS sobre TLS?

Question 1

El informe de error para agregar soporte para validar el certificado del servidor DNS ascendente se resolvió el 19 de abril de 2018.

Adaptando el ejemplo decomentario 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

También hay una explicación de cómo funciona: el nombre del hashtag permite configurar el nombre de autenticación tls para zonas stub y con comandos de control directo de control ilimitado. No debe haber espacios alrededor de '@' y '#'.

Answer

El informe de error para agregar soporte para validar el certificado del servidor DNS ascendente se resolvió el 19 de abril de 2018.

Adaptando el ejemplo decomentario 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

También hay una explicación de cómo funciona: el nombre del hashtag permite configurar el nombre de autenticación tls para zonas stub y con comandos de control directo de control ilimitado. No debe haber espacios alrededor de '@' y '#'.

Question 2

Desafortunadamente, no puedes. Hay un error sin resolver para esto:

el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor

Entonces, con Unbounds DNS sobre TLS, sus solicitudes pueden ser interceptadas.

Answer

Desafortunadamente, no puedes. Hay un error sin resolver para esto:

el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor

Entonces, con Unbounds DNS sobre TLS, sus solicitudes pueden ser interceptadas.

Question 3

El error "el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor" se resolvió el 19 de abril de 2018:

Autenticación TLS para reenviadores.

La sintaxis es forward-addr: [@port][#tls-authentication-name] Y el paquete ca se puede configurar con: tls-cert-bundle: "ca-bundle.pem" (o el archivo ca-bundle.crt ).

Servidor de ejemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de avance: nombre: "." forward-tls-upstream: sí forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com

El truco del nombre del hashtag hace que el nombre de autenticación tls también se pueda configurar, por ejemplo. zonas auxiliares y con comandos de control avanzado de control ilimitado. También fue más fácil en el código. No debe haber espacios alrededor de '@' y '#'.

El número de puerto es [...] 853 cuando especifica un nombre de autenticación tls. (Y todavía 53 para otros).

Árbitro:comentario 9.

Answer

El error "el uso independiente de TLS en una configuración de reenvío no verifica el certificado del servidor" se resolvió el 19 de abril de 2018:

Autenticación TLS para reenviadores.

La sintaxis es forward-addr: [@port][#tls-authentication-name] Y el paquete ca se puede configurar con: tls-cert-bundle: "ca-bundle.pem" (o el archivo ca-bundle.crt ).

Servidor de ejemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de avance: nombre: "." forward-tls-upstream: sí forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com

El truco del nombre del hashtag hace que el nombre de autenticación tls también se pueda configurar, por ejemplo. zonas auxiliares y con comandos de control avanzado de control ilimitado. También fue más fácil en el código. No debe haber espacios alrededor de '@' y '#'.

El número de puerto es [...] 853 cuando especifica un nombre de autenticación tls. (Y todavía 53 para otros).

Árbitro:comentario 9.

¿Cómo configurar Unbound para validar un certificado de servidor DNS sobre TLS?

Respuesta1

Respuesta2

Respuesta3

información relacionada