DNS-over-TLS

Hur kommer jag igång?

Det enklaste sättet att komma igång är att installera en s.k. "stub resolver"-programvara på din dator. (Ditt operativsystem har redan en sådan, men den är inte tillräckligt modern för att förstå sig på DNS-over-TLS.)

Det finns en "stub resolver" som heter stubby och den finns färdigpaketerad för de vanligaste Operativsystemen, t.ex. Windows och macOS.

Stubby kommer med en konfiguration som innehåller flera stycken DNS-over-TLS servrar.

Hur lägger jag till DFRIs namnserver dot.dfri.se?

Du behöver ändra stubbys konfigurationsfil stubby.yml, alternativt ersätta den helt om du har för avsikt att endast använda DFRI:s namnserver. Konfigurationsfilen är i YAML-format, vilket betyder att den måste vara indenterad korrekt, dvs blanktecknen är viktiga.

För att använda dot.dfri.se tillsammans med stubby så kan du skapa en ny stubby.yml med följande innehåll:

resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private : 1
idle_timeout: 10000
listen_addresses:
  - 127.0.0.1
  -  0::1
round_robin_upstreams: 1
upstream_recursive_servers:
  - address_data: 171.25.193.138
    tls_auth_name: "dot.dfri.se"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 4mJAi0enpDQZ9t/gMJnA1y+8DHce8PrQQwTN1pnn0j4=

Detta gör att stubby endast kommer att koppla upp sig mot DFRI:s namnserver. Försöker någon MITM:a TLS-handskakningen med dot.dfri.se så kommer stubby att koppla ner, då konfigurationen är pinnad att endast acceptera det certifikat som DFRI tillhandahåller.

Hur börjar jag använda stubby & dot.dfri.se?

Starta upp stubby med din egen stubby.yml och ställ in DNS-server i din dator att peka på IP-adressen 127.0.0.1 (din stubby) och plocka bort de andra DNS-servrarna ur listan. Alternativt lägg IP-adressen 127.0.0.1 först i listan om du vill falla tillbaka på de andra.