Как настроить Unbound для проверки сертификата DNS поверх TLS-сервера?

Question

Как настроить Unbound для проверки сертификата DNS поверх TLS-сервера?

Я настроил Unbound для использования DNS поверх TLS, используя следующую конфигурацию. Как я могу настроить Unbound для проверки восходящего сертификата по имени хоста?

forward-zone:
        name: "."
        forward-addr: 1.1.1.1@853
        forward-addr: 1.0.0.1@853
        forward-addr: 2606:4700:4700::1111@853
        forward-addr: 2606:4700:4700::1001@853
        forward-tls-upstream: yes

3

dns unbound

Источник

Bardi Harborow 06 апр '18 в 08:47

3 ответа

Решение

К сожалению, вы не можете. Существует неразрешенная ошибка для этого:

unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера

Так что с Unbounds DNS over TLS ваши запросы могут быть перехвачены.

2

Источник

NiklasG 10 апр '18 в 19:30

Ошибка "unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера" была устранена 19 апреля, см. Комментарий 9.

1

Источник

jwh 30 апр '18 в 17:07

Другие вопросы по тегам dns unbound

Bardi Harborow 02 май '18 в 03:30 2018-05-02 03:30 · Accepted Answer · 2018-05-02 03:30

Сообщение об ошибке для добавления поддержки проверки сертификата вышестоящего DNS-сервера было исправлено 19 апреля 2018 года.

Адаптируем пример из комментария 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Есть также объяснение того, как это работает - имя хэштега позволяет установить имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг "@" и "#" не должно быть пробелов.