
Я настроил Unbound на использование DNS через TLS с помощью следующей конфигурации. Как настроить Unbound для проверки сертификата upstream по имени хоста?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
решение1
Отчет об ошибке, связанный с добавлением поддержки проверки сертификата вышестоящего DNS-сервера, был исправлен 19 апреля 2018 года.
Адаптируя пример изкомментарий 9:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
Также есть объяснение того, как это работает - имя хэштега позволяет задать имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг '@' и '#' не должно быть пробелов.
решение2
К сожалению, вы не можете. Для этого есть нерешенная ошибка:
непривязанный с использованием TLS в конфигурации пересылки не проверяет сертификат сервера
Таким образом, с помощью Unbounds DNS через TLS ваши запросы могут быть перехвачены.
решение3
Ошибка «отключение TLS в конфигурации пересылки не приводит к проверке сертификата сервера» была устранена 19 апреля 2018 г.:
TLS-аутентификация для пересылок.
Синтаксис: forward-addr: [@port][#tls-authentication-name] А пакет ca можно установить с помощью: tls-cert-bundle: "ca-bundle.pem" (или файла ca-bundle.crt).
Пример сервера: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone: имя: "." forward-tls-upstream: да forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.1.1.1@853#cloudflare-dns.com
Трюк с именем хэштега позволяет также задать имя аутентификации tls для, например, stub-zones и с unbound-control командами прямого управления. Это также было проще в коде. Не должно быть пробелов вокруг '@' и '#'.
Номер порта равен [...] 853, если вы указываете имя аутентификации TLS. (И все еще 53 для других).
Ссылка:комментарий 9.