Anois tá tacaíocht DNS turgnamhach ag BIND DNS thar HTTPS

Nocht na forbróirí freastalaí BIND DNS roinnt laethanta ó shin ag dul isteach sa bhrainse turgnamhach 9.17, cur chun feidhme tacaíocht do freastalaí do theicneolaíochtaí DNS thar HTTPS (DoH, DNS thar HTTPS) agus DNS thar TLS (DoT, DNS thar TLS), chomh maith le XFR.

Cur i bhfeidhm an phrótacail HTTP / 2 a úsáidtear i DoH bunaithe ar úsáid na leabharlainne nghttp2, atá san áireamh sna spleáchais tógála (sa todhchaí tá sé beartaithe an leabharlann a aistriú chuig na spleáchais roghnacha).

Le cumraíocht cheart, is féidir le próiseas ainmnithe amháin freastal ní amháin ar iarratais traidisiúnta DNS, ach freisin iarratais a sheoltar ag úsáid DoH (DNS thar HTTPS) agus DoT (DNS thar TLS).

Níl tacaíocht (tochailt) taobh cliaint HTTPS curtha i bhfeidhm go fóill, cé go bhfuil tacaíocht XFR-over-TLS ar fáil le haghaidh iarratas isteach agus amach.

Iarratais a phróiseáil ag úsáid DoH agus DoT cumasaítear é trí na roghanna http agus tls a chur leis an treoir éisteachta. Chun tacú le DNS thar HTTP neamhchriptithe, ní mór duit "tls none" a shonrú sa chumraíocht. Sainmhínítear eochracha sa chuid "tls". Is féidir na calafoirt líonra chaighdeánacha 853 do DoT, 443 do DoH, agus 80 do DNS thar HTTP a shárú trí na paraiméadair tls-port, https-port, agus http-port.

I measc na ngnéithe maidir le DoH a chur i bhfeidhm i BIND, tugtar faoi deara gur féidir oibríochtaí criptithe le haghaidh TLS a aistriú chuig freastalaí eile, D’fhéadfadh sé go mbeadh gá leis sin i gcoinníollacha ina ndéantar teastais TLS a stóráil ar chóras eile (mar shampla, i mbonneagar le freastalaithe gréasáin) agus a bhfreastalaíonn pearsanra eile air.

Tacaíocht do Cuirtear DNS thar HTTP neamhchriptithe i bhfeidhm chun dífhabhtú a shimpliú agus mar chiseal le cur ar aghaidh ar an líonra inmheánach, ar ar a mbunófar criptiú ar fhreastalaí eile. Ar fhreastalaí iargúlta, is féidir nginx a úsáid chun trácht TLS a ghiniúint, de réir analaí leis an mbealach a eagraítear ceangailteach HTTPS do shuímh.

Gné eile is ea comhtháthú an DoH mar iompar ginearálta, is féidir a úsáid ní amháin chun iarratais ó chliaint a phróiseáil chuig an athscríobh, ach freisin agus sonraí á malartú idir freastalaithe, criosanna a aistriú ag úsáid freastalaí údarásach DNS, agus aon iarratais a dtacaíonn iompróirí DNS eile leo a phróiseáil.

I measc na n-easnamh is féidir a dhéanamh suas trí thiomsú le DoH / DoT a dhíchumasú nó an criptiú a bhogadh chuig freastalaí eile, aibhsítear castacht ghinearálta an bhunchód- Cuirtear freastalaí HTTP ionsuite agus leabharlann TLS leis an gcomhdhéanamh, a bhféadfadh leochaileachtaí a bheith iontu agus gníomhú mar veicteoirí ionsaithe breise. Chomh maith leis sin, nuair a úsáidtear DoH, méadaíonn an trácht.

Caithfidh tú cuimhneamh air sin Is féidir le DNS-over-HTTPS a bheith úsáideach chun sceitheadh ​​faisnéise a sheachaintobair ar óstainmneacha iarrtha trí fhreastalaithe DNS na soláthraithe, dul i ngleic le hionsaithe MITM agus trácht DNS spoof, cur i gcoinne blocáil ar leibhéal DNS nó obair a eagrú i gcás nach féidir rochtain dhíreach a fháil ar fhreastalaithe DNS.

Tá, i ngnáthchás, seoltar iarratais DNS go díreach do na freastalaithe DNS atá sainithe i gcumraíocht an chórais, ansin, i gcás DNS thar HTTPS, an iarraidh seoladh IP an óstach a chinneadh tá sé cuimsithe i dtrácht HTTPS agus seoltar chuig an bhfreastalaí HTTP é, ina bpróiseálann an athscríobh iarratais tríd an API gréasáin.

Tá "DNS over TLS" difriúil ó "DNS thar HTTPS" trí úsáid a bhaint as an bprótacal caighdeánach DNS (úsáidtear port líonra 853 de ghnáth) fillte i gcainéal cumarsáide criptithe arna eagrú ag baint úsáide as an bprótacal TLS le bailíochtú óstach trí dheimhnithe TLS / SSL arna dheimhniú ag deimhniú. údarás. 

Faoi dheireadh, luaitear go Tá DoH ar fáil le tástáil i leagan 9.17.10 agus tá tacaíocht DoT thart ó 9.17.7, móide nuair a bheidh sé cobhsaithe, bogfaidh an tacaíocht do DoT agus DoH go brainse cobhsaí 9.16.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.