BIND DNS -palvelinkehittäjät paljastivat useita päiviä sitten liittyminen kokeelliseen haaraan 9.17, toteutus tuki palvelin tekniikoille DNS HTTPS: n kautta (DoH, DNS HTTPS: n kautta) ja DNS TLS: n kautta (DoT, DNS TLS: n kautta) sekä XFR.
DoH: ssa käytetyn HTTP / 2-protokollan toteutus perustuu nghttp2-kirjaston käyttöön, joka sisältyy rakennusriippuvuuksiin (tulevaisuudessa on tarkoitus siirtää kirjasto valinnaisiin riippuvuuksiin).
Oikean kokoonpanon avulla yksi nimetty prosessi voi nyt palvella paitsi perinteisiä DNS-pyyntöjä myös DoH: n (DNS over HTTPS) ja DoT (DNS over TLS) kautta lähetettyjä pyyntöjä.
HTTPS-asiakaspuolen tukea (dig) ei ole vielä otettu käyttöön, XFR-over-TLS -tuki on käytettävissä saapuville ja lähteville pyynnöille.
Pyyntöjen käsittely DoH: lla ja DoT: llä se otetaan käyttöön lisäämällä http- ja tls-asetukset kuunteludirektiiviin. Jos haluat tukea DNS-salausta HTTP: n kautta salaamattomana, sinun on määritettävä määrityksessä "tls none". Avaimet määritellään "tls" -osiossa. Normaalit verkkoportit 853 DoT: lle, 443 DoH: lle ja 80 DNS: lle HTTP: n kautta voidaan ohittaa tls-portti-, https-portti- ja http-portti-parametrien kautta.
Ominaisuuksien joukossa DoH-toteutuksen BIND: ssä, on huomattava, että TLS: n salausoperaatiot on mahdollista siirtää toiselle palvelimelle, Tämä voi olla tarpeen olosuhteissa, joissa TLS-varmenteet tallennetaan toiseen järjestelmään (esimerkiksi infrastruktuuriin, jossa on verkkopalvelimia) ja siihen osallistuu muu henkilökunta.
Tukea: lle DNS-yhteys HTTP: n kautta salaamattomana toteutetaan virheenkorjauksen yksinkertaistamiseksi ja kerroksena edelleenlähettämiseen sisäisessä verkossa, jonka perusteella salaus voidaan järjestää toiselle palvelimelle. Etäpalvelimella nginxiä voidaan käyttää TLS-liikenteen tuottamiseen analogisesti tapaan, jolla HTTPS-sidonta on järjestetty sivustoille.
Toinen piirre on DoH: n integrointi yleiskuljetuksena, jota voidaan käyttää paitsi asiakaspyyntöjen käsittelemiseen resolverille, myös tietojen vaihdossa palvelimien välillä, kun siirretään vyöhykkeitä käyttäen arvovaltaista DNS-palvelinta ja käsiteltäessä muiden DNS-kuljetusten tukemia pyyntöjä.
Niistä puutteista, jotka voidaan korjata poistamalla kääntäminen käytöstä DoH / DoT: lla tai siirtämällä salaus toiseen palvelimeen, koodipohjan yleinen komplikaatio on korostettu- Sisäänrakennettu HTTP-palvelin ja TLS-kirjasto lisätään sävellykseen, joka voi sisältää haavoittuvuuksia ja toimia lisähyökkäysvektoreina. Lisäksi kun DoH: ta käytetään, liikenne kasvaa.
Sinun täytyy muistaa se DNS-over-HTTPS voi olla hyödyllinen tietovuotojen välttämiseksityöskennellä pyydettyjen isäntänimien kanssa palveluntarjoajien DNS-palvelinten kautta, torjua MITM-hyökkäyksiä ja huijata DNS-liikennettä, torjua DNS-tason esto tai järjestää työ, jos DNS-palvelimille ei ole suoraa pääsyä.
jos, normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmän kokoonpanossa määritettyihin DNS-palvelimiin, sitten DNS HTTPS: n kautta, pyyntö määrittää isännän IP-osoite se kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa resolveri käsittelee pyynnöt web-sovellusliittymän kautta.
"DNS over TLS" eroaa "DNS over HTTPS": stä käyttämällä tavallista DNS-protokollaa (käytetään tyypillisesti verkkoporttia 853), joka on kääritty salattuun tietoliikennekanavaan, joka on järjestetty TLS-protokollan avulla, isännän validoinnilla TLS-sertifikaattien / sertifikaatin varmentamien SSL: n kautta. viranomainen.
Lopuksi mainitaan se DoH on saatavana testaukseen versiossa 9.17.10 ja DoT-tuki on ollut käytössä vuodesta 9.17.7, ja kun se on vakiintunut, DoT: n ja DoH: n tuki siirtyy 9.16: n vakaan haaraan.