Como configurar o Unbound para validar um certificado de servidor DNS sobre TLS?

Question 1

O relatório de bug para adicionar suporte para validação do certificado do servidor DNS upstream foi resolvido em 19 de abril de 2018.

Adaptando o exemplo decomentário 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Há também uma explicação de como funciona - o nome da hashtag permite que o nome de autenticação tls seja definido para zonas de stub e com comandos de controle de encaminhamento de controle não vinculado. Não deve haver espaços ao redor de '@' e '#'.

Answer

O relatório de bug para adicionar suporte para validação do certificado do servidor DNS upstream foi resolvido em 19 de abril de 2018.

Adaptando o exemplo decomentário 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Há também uma explicação de como funciona - o nome da hashtag permite que o nome de autenticação tls seja definido para zonas de stub e com comandos de controle de encaminhamento de controle não vinculado. Não deve haver espaços ao redor de '@' e '#'.

Question 2

Infelizmente, você não pode. Há um bug não resolvido para isso:

desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor

Portanto, com Unbounds DNS sobre TLS, suas solicitações podem ser interceptadas.

Answer

Infelizmente, você não pode. Há um bug não resolvido para isso:

desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor

Portanto, com Unbounds DNS sobre TLS, suas solicitações podem ser interceptadas.

Question 3

O bug para "desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor" foi resolvido em 19 de abril de 2018:

Autenticação TLS para encaminhadores.

A sintaxe é forward-addr: [@port][#tls-authentication-name] E o pacote ca pode ser definido com: tls-cert-bundle: "ca-bundle.pem" (ou o arquivo ca-bundle.crt ).

Servidor de exemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de encaminhamento: nome: "." forward-tls-upstream: sim forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com

O truque do nome da hashtag faz com que o nome de autenticação tls também possa ser definido, por exemplo. zonas de stub e com comandos de controle direto de controle não vinculado. Também foi mais fácil no código. Não deve haver espaços ao redor de '@' e '#'.

O número da porta é [...] 853 quando você especifica um nome de autenticação tls. (E ainda 53 para outros).

Referência:comentário 9.

Answer

O bug para "desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor" foi resolvido em 19 de abril de 2018:

Autenticação TLS para encaminhadores.

A sintaxe é forward-addr: [@port][#tls-authentication-name] E o pacote ca pode ser definido com: tls-cert-bundle: "ca-bundle.pem" (ou o arquivo ca-bundle.crt ).

Servidor de exemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de encaminhamento: nome: "." forward-tls-upstream: sim forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com

O truque do nome da hashtag faz com que o nome de autenticação tls também possa ser definido, por exemplo. zonas de stub e com comandos de controle direto de controle não vinculado. Também foi mais fácil no código. Não deve haver espaços ao redor de '@' e '#'.

O número da porta é [...] 853 quando você especifica um nome de autenticação tls. (E ainda 53 para outros).

Referência:comentário 9.

Como configurar o Unbound para validar um certificado de servidor DNS sobre TLS?

Responder1

Responder2

Responder3

informação relacionada