Como configurar o Unbound para validar um certificado do servidor DNS sobre TLS?

Navegue suas respostas
1

Eu configurei o Unbound para usar o DNS por TLS usando a seguinte configuração. Como posso configurar o Unbound para validar o certificado upstream contra um nome de host? 

forward-zone:
        name: "."
        forward-addr: 1.1.1.1@853
        forward-addr: 1.0.0.1@853
        forward-addr: 2606:4700:4700::1111@853
        forward-addr: 2606:4700:4700::1001@853
        forward-tls-upstream: yes
    
por Bardi Harborow 06.04.2018 / 10:47

3 respostas

3

O relatório de erros para adicionar suporte à validação do certificado do servidor DNS upstream foi solucionado em 19 de abril de 2018.

Adaptar o exemplo de comentário 9 : 

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Há também uma explicação de como isso funciona - o nome da hashtag permite o nome de autenticação do tls a ser configurado para zonas de stub e com comandos de controle de encaminhamento de controle não vinculado. Não deve haver espaços em torno do '@' e '#'.

    
por 02.05.2018 / 05:30
2

Infelizmente, você não pode. Há um bug não resolvido para isso:

desvinculado usando o TLS em uma configuração de encaminhamento não verifica o certificado do servidor

Assim, com o Unbounds DNS sobre TLS, seus pedidos podem ser interceptados.

    
por 10.04.2018 / 21:30
1

O erro de "unbound usando TLS em uma configuração de encaminhamento não verifica o certificado do servidor" foi resolvido em 19 de abril, consulte comentário 9 .

    
por 30.04.2018 / 19:07

Tags

Posso remover instalações antigas de java, VC e .net? Que informações / dados são enviados para o sistema operacional ao pressionar os números do teclado com o num lock desligado?