
Configurei o Unbound para usar DNS sobre TLS usando a seguinte configuração. Como posso configurar o Unbound para validar o certificado upstream em um nome de host?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
Responder1
O relatório de bug para adicionar suporte para validação do certificado do servidor DNS upstream foi resolvido em 19 de abril de 2018.
Adaptando o exemplo decomentário 9:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
Há também uma explicação de como funciona - o nome da hashtag permite que o nome de autenticação tls seja definido para zonas de stub e com comandos de controle de encaminhamento de controle não vinculado. Não deve haver espaços ao redor de '@' e '#'.
Responder2
Infelizmente, você não pode. Há um bug não resolvido para isso:
desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor
Portanto, com Unbounds DNS sobre TLS, suas solicitações podem ser interceptadas.
Responder3
O bug para "desvinculado usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor" foi resolvido em 19 de abril de 2018:
Autenticação TLS para encaminhadores.
A sintaxe é forward-addr: [@port][#tls-authentication-name] E o pacote ca pode ser definido com: tls-cert-bundle: "ca-bundle.pem" (ou o arquivo ca-bundle.crt ).
Servidor de exemplo: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" zona de encaminhamento: nome: "." forward-tls-upstream: sim forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com
O truque do nome da hashtag faz com que o nome de autenticação tls também possa ser definido, por exemplo. zonas de stub e com comandos de controle direto de controle não vinculado. Também foi mais fácil no código. Não deve haver espaços ao redor de '@' e '#'.
O número da porta é [...] 853 quando você especifica um nome de autenticação tls. (E ainda 53 para outros).
Referência:comentário 9.