<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div class="elementToProof" style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">
>> Further, why is it necessary to explicitly set the tls-cert-bundle? <br>
>> I guess there is a reason as Bind9 also requires to manually set the <br>
>> ca-file for mutual TLS and client verification. I just don’t <br>
>> understand why.<br>
<br>
> different OS flavors have different places for a "default set of certs<br>
> trusted by the os vendor" (CA/B truststor)<br>
> I think, for that reason, it's nessesary to be explicit in nsd.conf<br>
<br>
The confusing thing is, that for "strict TLS" there is no need to configure 'tls-cert-bundle' and the OS installed CAs are used for validation. Only for mutual TLS it is mandatory to configure 'tls-cert-bundle', for which I do not see any reason.</div>
<div class="elementToProof" style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">
<br>
</div>
<div class="elementToProof" style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">
regards</div>
<div class="elementToProof" style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">
Klaus</div>
</body>
</html>