Els desenvolupadors de servidor DNS BIND van donar a conèixer fa ja diversos dies la incorporació a la branca experimental 9.17, La implementació de suport de servidor per a les tecnologies DNS sobre HTTPS (DOH, DNS sobre HTTPS) I DNS sobre TLS (DoT, DNS sobre TLS), així com XFR.
La implementació de l'protocol HTTP / 2 utilitzat en Doh es basa en l'ús de la biblioteca nghttp2, que s'inclou en les dependències de la compilació (en el futur, es planeja transferir la biblioteca a les dependències opcionals).
Amb la configuració adequada, un únic procés amb nom ara pot atendre no només les sol·licituds de DNS tradicionals, sinó també les sol·licituds enviades mitjançant Doh (DNS sobre HTTPS) i DoT (DNS sobre TLS).
El suport HTTPS de la banda de el client (dig) encara no està implementat, mentre que el suport XFR-over-TLS està disponible per a sol·licituds entrants i sortints.
El processament de sol·licituds usant Doh i DoT s'habilita agregant les opcions http i tls a la directiva listen-on. Per admetre DNS sobre HTTP sense xifrar, ha d'especificar «tls none» en la configuració. Les claus es defineixen en la secció «tls». Els ports de xarxa estàndard 853 per DoT, 443 per Doh i 80 per a DNS sobre HTTP es poden anul·lar a través dels paràmetres tls-port, https-port i http-port.
Entre les característiques de la implementació de DOH a BIND, es destaca que és possible transferir operacions de xifrat TLS a un altre servidor, el que pot ser necessari en condicions en què l'emmagatzematge de certificats TLS es realitza en un altre sistema (per exemple, en una infraestructura amb servidors web) i és atesa per un altre personal.
El suport per a DNS sobre HTTP no xifrat s'implementa per simplificar la depuració i com una capa per al reenviament a la xarxa interna, sobre la base es pot organitzar el xifrat en un altre servidor. En un servidor remot, nginx es pot utilitzar per generar trànsit TLS, per analogia amb la forma en què s'organitza l'enllaç HTTPS per a llocs.
Una altra característica és la integració de DOH com transport general, que es pot utilitzar no només per processar les sol·licituds de client a l'resolutori, sinó també a l'intercanviar dades entre servidors, a l'transferir zones mitjançant un servidor DNS autoritzat i a l'processar qualsevol sol·licitud admesa per altres transports DNS.
Entre les deficiències que es poden compensar deshabilitant la compilació amb DOH / DoT o movent el xifrat a un altre servidor, es destaca la complicació general de el codi base: S'agreguen un servidor HTTP integrat i una biblioteca TLS a la composició, el que potencialment pot contenen vulnerabilitats i actuen com a vectors addicionals d'atacs. A més, quan es fa servir Doh, augmenta el trànsit.
Cal recordar que DNS-over-HTTPS pot ser útil per evitar filtracions d'informació sobri els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i falsificar el trànsit DNS, contrarestar el bloqueig de a nivell de DNS o per organitzar el treball en cas d'impossibilitat d'accés directe als servidors DNS .
si, en una situació normal, les sol·licituds de DNS s'envien directament als servidors DNS definits en la configuració de sistema, llavors, en el cas de DNS sobre HTTPS, la sol·licitud per determinar l'adreça IP de l'host s'encapsula en el tràfic HTTPS i s'envia a l'servidor HTTP, en el qual el resolutor processa les sol·licituds a través de l'API web.
«DNS sobre TLS» es diferencia de «DNS sobre HTTPS» per utilitzar el protocol DNS estàndard (normalment s'utilitza el port de xarxa 853) embolicat en un canal de comunicació xifrat organitzat utilitzant el protocol TLS amb validació de host a través de certificats TLS / SSL certificats per una certificació. autoritat.
Finalment, s'esmenta que DOH està disponible per a proves en la versió 9.17.10 i el suport DoT ha estat present des 9.17.7, a més que un cop estabilitzat, el suport per DoT i Doh es traslladarà a la branca estable 9.16.