DNS-over-TLS

Hur kommer jag igång?

Det enklaste sättet att komma igång är att installera en s.k. "stub resolver"-programvara på din dator. (Ditt operativsystem har redan en sådan, men den är inte tillräckligt modern för att förstå sig på DNS-over-TLS.)

Det finns en "stub resolver"-programvara som heter stubby och den finns färdigpaketerad för de vanligaste Operativsystemen, t.ex. Windows och macOS.

Stubby kommer med en konfiguration som innehåller flera stycken DNS-over-TLS servrar.

Hur lägger jag till DFRIs namnserver DNScrypt.dfri.se ?

Du behöver editera stubbys konfigurationsfil stubby.yml, alternativt ersätta den helt om du har för avsikt att endast använda DFRIs namnserver. Konfigurationsfilen är i formatet YAML, vilket betyder att den måste vara indenterad korrekt för att kunna läsas.

För att använda dnscrypt.dfri.se tillsammans med stubby så kan du skapa en ny stubby.yml med följande innehåll:

resolution_type: GETDNS_RESOLUTION_STUB  
dns_transport_list:  
  - GETDNS_TRANSPORT_TLS  
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED  
tls_query_padding_blocksize: 256  
edns_client_subnet_private : 1  
idle_timeout: 10000  
listen_addresses:  
  - 127.0.0.1  
  -  0::1  
round_robin_upstreams: 1  
upstream_recursive_servers:  
  - address_data: 171.25.193.138  
    tls_auth_name: "dnscrypt.dfri.se"  
    tls_pubkey_pinset:  
      - digest: "sha256"  
        value: jYdlj5TtGuGsJkFhKf7MIc1oNAF3UriX0gRqv0gFuYI=  

Detta gör att stubby endast kommer att koppla upp sig mot DFRIs DNS-server. Försöker någon MITMa TLS-handskakningen med dnscrypt.dfri.se så kommer stubby att koppla ner, då konfigurationen är pinnad att endast acceptera det certifikat som DFRI tillhandahåller.

Hur börjar jag använda stubby & dnscrypt.dfri.se?

Starta upp stubby med din egna stubby.yml och peka din dators DNS-server på IP-adressen 127.0.0.1 (din stubby) och plocka bort de andra DNS-servrarna ur listan (alternativt lägg IP-adressen 127.0.0.1 först i listan).