Я настроил Unbound для использования DNS через TLS, используя следующую конфигурацию. Как я могу настроить Unbound для проверки восходящего сертификата по имени хоста?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
Сообщение об ошибке для добавления поддержки проверки сертификата вышестоящего DNS-сервера было исправлено 19 апреля 2018 года.
Адаптируем пример из комментария 9:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
Также есть объяснение того, как это работает - имя хештега позволяет установить имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг «@» и «#» не должно быть пробелов.
К сожалению, вы не можете. Существует неразрешенная ошибка для этого:
unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера
Так что с Unbounds DNS over TLS ваши запросы могут быть перехвачены.
Ошибка «unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера» была устранена 19 апреля, см. Комментарий 9.