Разработчиците на BIND DNS сървър разкриха преди няколко дни присъединяване към експерименталния клон 9.17, въвеждането на подкрепа на сървър за технологии DNS през HTTPS (DoH, DNS през HTTPS) и DNS през TLS (DoT, DNS през TLS), както и XFR.
Прилагането на протокола HTTP / 2, използван в DoH се основава на използването на библиотеката nghttp2, което е включено в зависимостите за изграждане (в бъдеще се планира прехвърляне на библиотеката към незадължителните зависимости).
С правилна конфигурация, един единствен процес вече може да обслужва не само традиционни DNS заявки, но и заявки, изпратени чрез DoH (DNS през HTTPS) и DoT (DNS през TLS).
Поддръжката на HTTPS от страна на клиента (dig) все още не е внедрена, докато XFR-over-TLS поддръжка е достъпна за входящи и изходящи заявки.
Обработка на заявки с помощта на DoH и DoT той се активира чрез добавяне на опциите http и tls към директивата за слушане. За да поддържате DNS през HTTP нешифрован, трябва да посочите "tls none" в конфигурацията. Ключовете са дефинирани в раздела "tls". Стандартните мрежови портове 853 за DoT, 443 за DoH и 80 за DNS през HTTP могат да бъдат заменени чрез параметрите tls-port, https-port и http-port.
Сред характеристиките на прилагането на DoH в BIND, отбелязва се, че е възможно да се прехвърлят операции за криптиране за TLS на друг сървър, Това може да се наложи в условия, при които съхраняването на TLS сертификати се извършва в друга система (например в инфраструктура с уеб сървъри) и се обслужва от друг персонал.
Подкрепа за DNS през HTTP некриптиран е внедрен за опростяване на отстраняване на грешки и като слой за препращане във вътрешната мрежа, въз основа на който може да се организира криптиране на друг сървър. На отдалечен сървър nginx може да се използва за генериране на TLS трафик, по аналогия с начина, по който HTTPS обвързването е организирано за сайтове.
Друга характеристика е интегрирането на DoH като общ транспорт, което може да се използва не само за обработка на клиентски заявки към преобразувателя, но и при обмен на данни между сървъри, прехвърляне на зони с помощта на авторитетен DNS сървър и обработка на всякакви заявки, поддържани от други DNS транспорти.
Сред недостатъците, които могат да бъдат компенсирани чрез деактивиране на компилацията с DoH / DoT или преместване на криптирането на друг сървър, се подчертава общото усложнение на кодовата база- Към състава се добавят вграден HTTP сървър и TLS библиотека, която потенциално може да съдържа уязвимости и да действа като допълнителни вектори на атака. Също така, когато се използва DoH, трафикът се увеличава.
Трябва да помните това DNS-over-HTTPS може да бъде полезен за избягване на изтичане на информация sработа по заявени имена на хостове чрез DNS сървъри на доставчици, борба с MITM атаки и подправяне на DNS трафик, противодействие на блокиране на DNS ниво или организиране на работа в случай на невъзможност за директен достъп до DNS сървъри
ако, в нормална ситуация DNS заявките се изпращат директно към DNS сървърите, дефинирани в системната конфигурация, а след това, в случай на DNS през HTTPS, заявката за определяне на IP адреса на хоста той е капсулиран в HTTPS трафик и изпратен на HTTP сървъра, в който преобразувателят обработва заявки чрез уеб API.
„DNS през TLS“ се различава от „DNS през HTTPS“, като използва стандартния DNS протокол (обикновено се използва мрежов порт 853), обвит в криптиран комуникационен канал, организиран с помощта на TLS протокол с валидиране на хост чрез TLS сертификати / SSL, сертифицирани от сертификация. власт.
Накрая се споменава, че DoH е достъпен за тестване във версия 9.17.10 и DoT поддръжката съществува от 9.17.7, плюс след като се стабилизира, поддръжката за DoT и DoH ще се премести към стабилния клон 9.16.