Najavili su programeri BIND DNS servera pre nekoliko dana uključivanje u eksperimentalnu granu 9.17, implementacija podrška server za tehnologije DNS preko HTTPS-a (DoH, DNS preko HTTPS-a) i DNS preko TLS-a (DoT, DNS preko TLS-a), kao i XFR.
Implementacija HTTP/2 protokola koji se koristi u DoH Zasnovan je na korišćenju nghttp2 biblioteke, koji je uključen u zavisnosti od izgradnje (u budućnosti se planira prebacivanje biblioteke na opcione zavisnosti).
Uz odgovarajuću konfiguraciju, jedan imenovani proces sada može servisirati ne samo tradicionalne DNS zahtjeve, već i zahtjeve poslane koristeći DoH (DNS preko HTTPS) i DoT (DNS preko TLS-a).
HTTPS podrška (dig) na strani klijenta još nije implementirana, dok je podrška za XFR-over-TLS dostupna za dolazne i odlazne zahtjeve.
Obrada zahtjeva koristeći DoH i DoT Omogućava se dodavanjem http i tls opcija direktivi slušanja. Da biste podržali DNS preko nešifrovanog HTTP-a, morate navesti “tls none” u konfiguraciji. Ključevi su definirani u odjeljku "tls". Standardni mrežni portovi 853 za DoT, 443 za DoH i 80 za DNS preko HTTP-a mogu se nadjačati putem parametara tls-port, https-port i http-port.
Među karakteristikama implementacije DoH u BIND, Naglašeno je da je moguće prenijeti operacije enkripcije za TLS na drugi server, što može biti neophodno u uslovima kada se skladištenje TLS sertifikata vrši na drugom sistemu (na primer, na infrastrukturi sa veb serverima) i servisira drugo osoblje.
Podrška za DNS preko nešifrovanog HTTP-a implementiran je kako bi se pojednostavilo otklanjanje grešaka i kao sloj za prosljeđivanje u internoj mreži, na osnovu kojeg se može organizirati enkripcija na drugom serveru. Na udaljenom serveru, nginx se može koristiti za generisanje TLS saobraćaja, po analogiji sa načinom na koji je HTTPS povezivanje organizovano za sajtove.
Još jedna karakteristika je integracija DoH kao opšteg transporta, koji se može koristiti ne samo za obradu zahtjeva od klijenta do razrješača, već i prilikom razmjene podataka između servera, prilikom prijenosa zona preko autoritativnog DNS servera i prilikom obrade bilo kakvih zahtjeva koje podržavaju drugi DNS transporti.
Među nedostacima koji se mogu nadoknaditi onemogućavanjem kompilacije sa DoH/DoT ili premještanjem enkripcije na drugi server, naglašena je opšta komplikacija kodne baze– Kompoziciji su dodati integrisani HTTP server i TLS biblioteka, koja potencijalno može sadržati ranjivosti i delovati kao dodatni vektori napada. Osim toga, kada se koristi DoH, promet se povećava.
To morate zapamtiti DNS-over-HTTPS može biti koristan za sprečavanje curenja informacijapreko imena hostova traženih preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS saobraćaja, blokiranje brojača na DNS nivou ili organizovanje rada u slučaju nemogućnosti direktnog pristupa DNS serverima.
si, U normalnoj situaciji, DNS zahtjevi se šalju direktno na DNS servere definisane u konfiguraciji sistema, zatim u slučaju DNS preko HTTPS-a, zahtjev za određivanje IP adrese hosta je inkapsuliran u HTTPS promet i poslan na HTTP server, u kojem razrješavač obrađuje zahtjeve preko web API-ja.
“DNS preko TLS-a” se razlikuje od “DNS preko HTTPS-a” korištenjem standardnog DNS protokola (obično koristeći mrežni port 853) umotanog u šifrirani komunikacioni kanal organiziran korištenjem TLS protokola s provjerom valjanosti hosta putem TLS certifikata. / SSL certificiran certifikatom. autoritet.
Na kraju se spominje da DoH je dostupan za testiranje u verziji 9.17.10 i DoT podrška je prisutna od 9.17.7, plus kada se stabilizuje, podrška za DoT i DoH će biti premještena na 9.16 stabilnu granu.