Как настроить несвязанный для проверки DNS по сертификату сервера TLS?

Я настроил Unbound для использования DNS по TLS с помощью следующей конфигурации. Как я могу настроить несвязанный для проверки вышестоящего сертификата против имени хоста?

forward-zone:
        name: "."
        forward-addr: 1.1.1.1@853
        forward-addr: 1.0.0.1@853
        forward-addr: 2606:4700:4700::1111@853
        forward-addr: 2606:4700:4700::1001@853
        forward-tls-upstream: yes
5
задан Bardi Harborow
источник

3 ответов

отчет об ошибке для добавления поддержки проверки сертификата вышестоящего DNS-сервера был разрешен 19 апреля 2018 года.

адаптация примера от комментарий 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

там также объяснение того, как это работает-имя хэштега позволяет имя TLS проверка подлинности для зоны заглушки и свободные-контроль вперед команды управления. Вокруг " @ " и " # " не должно быть пробелов.

3
отвечен Bardi Harborow 2018-05-02 03:51:18
источник

к сожалению, вы не можете. Существует неразрешенная ошибка для этого:

несвязанное использование TLS в конфигурации пересылки не проверяет сертификат сервера

Так что с Unbounds DNS через TLS ваши запросы могут быть перехвачены.

2
отвечен NiklasG 2018-04-10 19:30:27
источник

ошибка "несвязанное использование TLS в конфигурации пересылки не проверяет сертификат сервера" была решена 19 апреля, см. комментарий 9.

1
отвечен jwh 2018-04-30 17:07:28
источник

Другие вопросы dns unbound