DNS over TLSサーバーの証明書を検証するようにUnboundを構成するにはどうすればよいですか?
次の構成を使用して、TLS経由のDNSを使用するようにUnboundを構成しました。ホスト名に対してアップストリーム証明書を検証するようにUnboundを構成するにはどうすればよいですか?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
アップストリームDNSサーバーの証明書を検証するためのサポートを追加するためのバグレポートは、2018年4月19日に解決されました。
コメント9 の例を採用:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
それがどのように機能するかについての説明もあります-ハッシュタグ名により、tls認証名をスタブゾーンに設定し、unbound-control転送制御コマンドを使用できます。 「@」と「#」の前後にスペースを入れないでください。
残念ながらできません。これには未解決のバグがあります:
転送構成でTLSを使用してアンバインドしても、サーバーの証明書は検証されません
そのため、Unbounds DNS over TLSを使用すると、リクエストが傍受される可能性があります。
「転送構成でTLSを使用してアンバインドしてもサーバーの証明書が検証されない」というバグは、2018年4月19日に解決されました。
フォワーダーのTLS認証。
構文はforward-addr:[@ port] [#tls-authentication-name]で、caバンドルは次のように設定できます:tls-cert-bundle: "ca-bundle.pem"(またはca-bundle.crtファイル)。
サーバーの例:tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone:name: "。" forward-tls-upstream:はいforward-addr:9.9.9.9@853#dns.quad9.net forward-addr:1.1.1.1@853#cloudflare-dns.com
ハッシュタグ名のトリックは、tls認証名もたとえばに設定できるようにします。スタブゾーンおよびunbound-control転送制御コマンドを使用します。また、コードの方が簡単でした。 「@」と「#」の前後にスペースを入れないでください。
Tls authnameを指定すると、ポート番号は[...] 853になります。 (そして他の人にとってはまだ53)。
参照: コメント9 。