Vývojáři serveru BIND DNS představeni před několika dny připojení k experimentální větvi 9.17, implementace podpora server pro technologie DNS přes HTTPS (DoH, DNS přes HTTPS) a DNS přes TLS (DoT, DNS over TLS), stejně jako XFR.
Implementace protokolu HTTP / 2 používaného v DoH je založen na použití knihovny nghttp2, který je zahrnut v závislostech sestavení (v budoucnu se plánuje přenos knihovny do volitelných závislostí).
Při správné konfiguraci může jeden pojmenovaný proces obsluhovat nejen tradiční požadavky DNS, ale také požadavky odeslané pomocí DoH (DNS přes HTTPS) a DoT (DNS přes TLS).
Podpora na straně klienta HTTPS (dig) ještě není implementována, zatímco pro příchozí a odchozí požadavky je k dispozici podpora XFR-over-TLS.
Zpracování požadavků pomocí DoH a DoT je povoleno přidáním možností http a tls do směrnice pro naslouchání. Chcete-li podporovat šifrování DNS přes HTTP, musíte v konfiguraci zadat „tls none“. Klíče jsou definovány v sekci „tls“. Standardní síťové porty 853 pro DoT, 443 pro DoH a 80 pro DNS přes HTTP lze přepsat parametry tls-port, https-port a http-port.
Mezi rysy implementace DoH v BIND, je třeba poznamenat, že je možné přenést šifrovací operace pro TLS na jiný server, To může být nezbytné v podmínkách, kdy se ukládání certifikátů TLS provádí v jiném systému (například v infrastruktuře s webovými servery) a je obsluhováno dalšími pracovníky.
Podpora pro Pro zjednodušení ladění je implementováno šifrování DNS přes HTTP a jako vrstva pro předávání v interní síti, na jejímž základě lze zajistit šifrování na jiném serveru. Na vzdáleném serveru lze nginx použít ke generování provozu TLS, analogicky se způsobem, jakým je vazba HTTPS organizována pro weby.
Další funkcí je integrace DoH jako obecného transportu, které lze použít nejen ke zpracování požadavků klientů na překladač, ale také při výměně dat mezi servery, přenosu zón pomocí autoritativního serveru DNS a zpracování veškerých požadavků podporovaných jinými přenosy DNS.
Mezi nedostatky, které lze napravit deaktivací kompilace pomocí DoH / DoT nebo přesunutím šifrování na jiný server, je zvýrazněna obecná komplikace základny kódů- Do složení je přidán integrovaný server HTTP a knihovna TLS, která může potenciálně obsahovat chyby zabezpečení a fungovat jako další vektory útoku. Při použití DoH se také zvyšuje provoz.
To si musíš zapamatovat DNS-over-HTTPS může být užitečné, aby se zabránilo úniku informací spracovat na požadovaných hostitelských jménech prostřednictvím serverů DNS poskytovatelů, bojovat proti útokům MITM a zfalšovat provoz DNS, působit proti blokování na úrovni DNS nebo organizovat práci v případě nemožnosti přímého přístupu k serverům DNS.
Ano, v normální situaci se požadavky DNS odesílají přímo na servery DNS definované v konfiguraci systému, pak v případě DNS přes HTTPS, požadavek na určení IP adresy hostitele je zapouzdřen v provozu HTTPS a odeslán na server HTTP, ve kterém resolver zpracovává požadavky prostřednictvím webového API.
„DNS over TLS“ se liší od „DNS over HTTPS“ použitím standardního protokolu DNS (obvykle se používá síťový port 853) zabalený v šifrovaném komunikačním kanálu organizovaném pomocí protokolu TLS s ověřením hostitele prostřednictvím certifikátů TLS / SSL certifikovaných certifikací. orgán.
Nakonec je to zmíněno DoH je k dispozici pro testování ve verzi 9.17.10 a podpora DoT existuje již od 9.17.7, a jakmile se stabilizuje, podpora DoT a DoH se přesune do stabilní pobočky 9.16.