Després de dos anys de desenvolupament, ISC va llançar la primera versió estable de una nova branca important del servidor DNS BIND 9.18 la qual tindrà suport durant tres anys fins al segon trimestre del 2025 com a part d'un cicle de manteniment estès.
El suport per a la branca 9.11 finalitzarà al març i la branca 9.16 a mitjan 2023. Es va formar una branca experimental de BIND 9.19.0 per desenvolupar la funcionalitat de la propera versió estable de BIND.
El llançament de BIND 9.18.0 es destaca per la implementació de suport per a les tecnologies DNS sobre HTTPS (DoH, DNS sobre HTTPS) i DNS sobre TLS (DoT, DNS sobre TLS), així com el mecanisme XoT (XFR-over-TLS per a la transmissió segura de contingut DNS sobre TLS zones entre servidors (s'admeten zones d'enviament i recepció a través de XoT).
Amb la configuració adequada, un sol procés amb nom ara pot atendre no només les consultes de DNS tradicionals, sinó també les consultes enviades mitjançant DNS sobre HTTPS i DNS sobre TLS. La compatibilitat amb el client DNS sobre TLS està integrada a la utilitat d'excavació, que es pot fer servir per enviar consultes sobre TLS quan s'especifica l'indicador «+tls».
Entre les característiques de la implementació de DoH a BIND, es destaca la possibilitat de transferir operacions de xifratge per a TLS a un altre servidor, el que pot ser necessari en condicions on els certificats TLS s'emmagatzemen en un altre sistema (per exemple, en una infraestructura amb servidors web) i atesos per un altre personal. El suport per a DNS sobre HTTP sense xifrar s'implementa per simplificar la depuració i com una capa per al reenviament a un altre servidor a la xarxa interna (per moure el xifratge a un servidor separat). En un servidor remot, nginx es pot fer servir per generar trànsit TLS, de manera similar a com s'organitza l'enllaç HTTPS per als llocs.
Principals novetats de DNS BIND 9.18
En aquesta nova versió que es presenta podrem trobar que es van afegir configuracions tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer i udp-send-buffer per establir les mides de memòria intermèdia utilitzades en enviar i rebre sol·licituds a través de TCP i UDP. A servidors ocupats, augmentar els búfers entrants evitarà caigudes de paquets en el moment dels pics de trànsit i reduir-los ajudarà a eliminar l'obstrucció de la memòria amb antigues sol·licituds.
Un altre dels canvis que es destaca és que es va afegir una nova categoria de registres «rpz-passthru», que permet registrar per separat les accions de reenviament de RPZ (Zones de política de resposta), a més que s'ha afegit l'opció "nsdname-wait-recurse" a la secció de política de resposta, quan s'estableix en «no», les regles RPZ NSDNAME s'apliquen només si es troben servidors de noms autoritzats presents a la memòria cau per a la sol·licitud; en cas contrari, la regla RPZ NSDNAME s'ignora, però la informació es recupera en segon pla i s'aplica a sol · licituds posteriors.
Per abordar els problemes amb la fragmentació IP en manejar missatges DNS grans, identificats per la iniciativa DNS Flag Day 2020, el codi que ajusta la mida del memòria intermèdia EDNS en cas que no es respongui a una consulta es va eliminar del resolutor. La mida del memòria intermèdia d'EDNS ara s'estableix constant (edns-udp-size) per a totes les sol·licituds sortints.
A més d'això es va eliminar la compatibilitat amb fitxers de zona en format de «mapa» (mapa en format de fitxer mestre). Es recomana als usuaris daquest format que converteixin les zones a format sense format mitjançant la utilitat named-compilezone.
Dels altres canvis que es destaquen:
- Per a registres amb tipus HTTPS i SVCB, s'implementa el processament de la secció ADDICIONAL.
- Es van afegir tipus de polítiques d'actualització personalitzades (krb5-subdomain-self-rhs i ms-subdomain-self-rhs) per restringir les actualitzacions als registres SRV i PTR. Als blocs de polítiques d'actualització, també s'ha afegit la capacitat d'establir límits a la quantitat de registres, separats per a cada tipus.
- S'ha afegit informació sobre el protocol de transport (UDP, TCP, TLS, HTTPS) i els prefixos DNS64 a la sortida de la utilitat d'excavació.
- S'ha afegit suport per a la biblioteca OpenSSL 3.0.
- El sistema de compilació s'ha canviat per utilitzar autoconf, automake i libtool.
- Es va eliminar la compatibilitat amb els controladors DLZ (zones carregables dinàmicament) anteriors i es va reemplaçar per mòduls DLZ.
- Es va eliminar el suport de compilació i execució per a la plataforma Windows. La darrera branca que es pot instal·lar a Windows és BIND 9.16.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls al següent enllaç.