DNSCrypt-proxy: este certificado parece válido

2

Acabo de instalar dnscrypt-proxy y dnsmasq con DNSSEC pero recibo un mensaje extraño en el archivo de registro de dnscrypt-proxy .

[INFO] + DNS Security Extensions are supported
[INFO] - [dnscrypt.eu-dk] does not support Namecoin domains
[INFO] + Provider supposedly doesn't keep logs
[NOTICE] Starting dnscrypt-proxy 1.6.0
[INFO] Generating a new session key pair
[INFO] Done
[INFO] Server certificate #808464433 received
[INFO] This certificate looks valid
[INFO] Chosen certificate #808464433 is valid from [2015-09-11] to [2016-09-10]
[INFO] Server key fingerprint is 164E:1AD6:4356:777D:2019:F2F9:D389:2DDB:BC75:8AF0:9172:8E0C:A874:10C7:3BE8:423B

La parte que creo que es sospechosa, es la siguiente:

[INFO] This certificate looks valid

Parece que dnscrypt-proxy tiene dudas sobre la validez del certificado. ¿Qué pasa con el estado absoluto de válido? Es un certificado válido o no.

¿He hecho algo mal con la configuración?

Archivo de configuración (parte de resolución):

DNSCRYPT_PROXY_PROVIDER_KEY=3748:5585:E3B9:D088:FD25:AD36:B037:01F5:520C:D648:9E9A:DD52:1457:4955:9F0A:9955
DNSCRYPT_PROXY_PROVIDER_NAME=2.dnscrypt-cert.resolver2.dnscrypt.eu 
DNSCRYPT_PROXY_RESOLVER_ADDRESS=77.66.84.233:443
DNSCRYPT_PROXY_RESOLVER_NAME=dnscrypt.eu-dk

script init.d (iniciar parte):

if start_daemon -p "${DNSCRYPT_PROXY_PIDFILE}" ${DNSCRYPT_PROXY_BIN} \
    --pidfile "${DNSCRYPT_PROXY_PIDFILE}" \
    --daemonize \
    --ephemeral-keys \
    --user="${DNSCRYPT_PROXY_USER}" \
    --local-address="${DNSCRYPT_PROXY_LOCAL_ADDRESS}" \
    --provider-key="${DNSCRYPT_PROXY_PROVIDER_KEY}" \
    --provider-name="${DNSCRYPT_PROXY_PROVIDER_NAME}" \
    --resolver-name="${DNSCRYPT_PROXY_RESOLVER_NAME}" \
    --resolver-address="${DNSCRYPT_PROXY_RESOLVER_ADDRESS}" \
    --logfile="${DNSCRYPT_PROXY_LOG_FILE}" \
    $DNSCRYPT_PROXY_OPTIONS; then

El flujo de datos interno es el siguiente:

| DNS Client -> DNSMasq (+ DNSSEC) -> DNSCrypt-proxy | -> | LAN/Internet |
+----------------------------------------------------+----+--------------+
|                    Internal                        |    |    Network   |
    
pregunta BufferOverflow 30.01.2016 - 00:22
fuente

1 respuesta

2

Es válido.

Consulte este cambio en el árbol de desarrollo.

Dicho esto, tu configuración debería ser simplificada. Cuando use un resolutor predefinido, todo lo que necesita es el nombre del resolutor:

DNSCRYPT_PROXY_RESOLVER_NAME=dnscrypt.eu-dk

No tiene ningún sentido proporcionar el nombre de un solucionador predefinido y luego anularlo todo manualmente. Peor aún, se romperá si cambian los parámetros del certificado.

Simplemente elimine DNSCRYPT_PROXY_PROVIDER_KEY , DNSCRYPT_PROXY_PROVIDER_NAME y %código%. Estos solo son útiles cuando está ejecutando su propio servidor DNSCrypt.

    
respondido por el Frank Denis 30.01.2016 - 01:13
fuente

Lea otras preguntas en las etiquetas