Как настроить Unbound для проверки сертификата сервера DNS поверх TLS?

Отчет об ошибке, связанный с добавлением поддержки проверки сертификата вышестоящего DNS-сервера, был исправлен 19 апреля 2018 года.

Адаптируя пример изкомментарий 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Также есть объяснение того, как это работает - имя хэштега позволяет задать имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг '@' и '#' не должно быть пробелов.

К сожалению, вы не можете. Для этого есть нерешенная ошибка:

непривязанный с использованием TLS в конфигурации пересылки не проверяет сертификат сервера

Таким образом, с помощью Unbounds DNS через TLS ваши запросы могут быть перехвачены.

Ошибка «отключение TLS в конфигурации пересылки не приводит к проверке сертификата сервера» была устранена 19 апреля 2018 г.:

TLS-аутентификация для пересылок.

Синтаксис: forward-addr: [@port][#tls-authentication-name] А пакет ca можно установить с помощью: tls-cert-bundle: "ca-bundle.pem" (или файла ca-bundle.crt).

Пример сервера: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone: имя: "." forward-tls-upstream: да forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com

Трюк с именем хэштега позволяет также задать имя аутентификации tls для, например, stub-zones и с unbound-control командами прямого управления. Это также было проще в коде. Не должно быть пробелов вокруг '@' и '#'.

Номер порта равен [...] 853, если вы указываете имя аутентификации TLS. (И все еще 53 для других).

Ссылка:комментарий 9.