BIND DNS-serveri arendajad avalikustasid mitu päeva tagasi inkorporeerimine eksperimentaalsesse harusse 9.17, rakendamine toetus server tehnoloogiate jaoks DNS üle HTTPS-i (DoH, DNS üle HTTPS) ja DNS-i TLS-i kaudu (DoT, DNS üle TLS-i), samuti XFR.
DoH-s kasutatava HTTP / 2 protokolli juurutamine see põhineb nghttp2 teegi kasutamisel, mis sisaldub ehitussõltuvustes (tulevikus on plaanis raamatukogu viia valikulistesse sõltuvustesse).
Nõuetekohase konfiguratsiooni korral saab üks nimega protsess teenida nüüd lisaks traditsioonilistele DNS-päringutele ka teenuse DoH (DNS üle HTTPS) ja DoT (DNS üle TLS) abil saadetud päringuid.
HTTPS-i kliendipoolset tuge (dig) pole veel rakendatud, XFR-over-TLS tugi on saadaval sissetulevate ja väljaminevate taotluste jaoks.
Taotluste töötlemine DoH ja DoT abil see on lubatud, lisades kuulamisdirektiivile suvandid http ja tls. DNS-i toetamiseks krüptimata HTTP kaudu peate konfiguratsioonis määrama "tls none". Võtmed on määratletud jaotises "tls". Standardsed võrgupordid 853 DoT-le, 443 DoH-le ja 80 DNS-i üle HTTP saab alistada tls-port, https-port ja http-port parameetrite kaudu.
Funktsioonide hulgas DoHi rakendamise kohta BIND-s, on esile tõstetud, et TLS-i krüptimisoperatsioone on võimalik teisele serverile üle kanda, See võib olla vajalik tingimustes, kus TLS-sertifikaatide salvestamine toimub mõnes muus süsteemis (näiteks veebiserveritega infrastruktuuris) ja seal osalevad teised töötajad.
Toetus Silumise lihtsustamiseks rakendatakse DNS üle HTTP krüptimata ja sisevõrgus edastamise kihina, mille alusel saab krüptimise korraldada mõnes teises serveris. Kaugserveris saab nginxit kasutada TLS-liikluse genereerimiseks analoogia põhjal HTTPS-i sidumise korraldamisega saitidele.
Teine omadus on DoH integreerimine üldise transpordina, mida saab kasutada mitte ainult klienditaotluste lahendamiseks lahendajale, vaid ka serverite vahel andmete vahetamisel, tsoonide ülekandmisel autoriteetse DNS-serveri abil ja kõigi teiste DNS-i transporti toetavate taotluste töötlemisel.
Puuduste hulgas, mille saab kompenseerimise keelamisega DoH / DoT abil või krüptimise teisele serverile teisaldamiseks, on esile tõstetud koodibaasi üldine tüsistus- Kompositsioonile lisatakse sisseehitatud HTTP-server ja TLS-i teek, mis võivad potentsiaalselt sisaldada haavatavusi ja toimida täiendavate ründevektoritena. Samuti suureneb DoH kasutamisel liiklus.
Sa pead seda meeles pidama DNS-over-HTTPS võib olla kasulik infolekete vältimiseks stöötada taotletud hostinimede kaudu teenusepakkujate DNS-serverite kaudu, võidelda MITM-i rünnakute ja DNS-liikluse võltsimisega, võidelda DNS-i blokeerimise vastu või korraldada tööd juhul, kui DNS-serveritele ei ole võimalik otse juurde pääseda.
kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritesse, siis juhul, kui DNS üle HTTPS, taotlus hosti IP-aadressi määramiseks see on kapseldatud HTTPS-liiklusse ja saadetud HTTP-serverisse, milles lahendaja töötleb taotlusi veebi API kaudu.
"DNS over TLS" erineb "DNS over HTTPS" -st, kasutades standardset DNS-protokolli (tavaliselt kasutatakse võrguporti 853), mis on mähitud krüpteeritud sidekanalisse, mis on korraldatud TLS-protokolli abil korraldatud TLS-sertifikaatide / SSL-i kaudu sertifitseeritud sertifitseeritud SSL-i sertifikaatide kaudu. asutus.
Lõpuks mainitakse seda DoH on testimiseks saadaval versioonis 9.17.10 ja DoT tugi on olnud alates 9.17.7, pluss pärast stabiliseerumist liigub DoT ja DoH tugi stabiilsesse 9.16 harusse.