Predstavljeni programeri BIND DNS poslužitelja prije nekoliko dana pridruživanje eksperimentalnoj grani 9.17, provedba podrška poslužitelj za tehnologije DNS preko HTTPS-a (DoH, DNS preko HTTPS-a) i DNS preko TLS-a (DoT, DNS preko TLS-a), kao i XFR.
Implementacija HTTP / 2 protokola koji se koristi u DoH-u temelji se na korištenju biblioteke nghttp2, koji je uključen u ovisnosti o gradnji (u budućnosti se planira prijenos knjižnice u neobavezne ovisnosti).
Uz pravilnu konfiguraciju, jedan imenovani postupak sada može servisirati ne samo tradicionalne DNS zahtjeve, već i zahtjeve poslane pomoću DoH (DNS preko HTTPS-a) i DoT (DNS preko TLS-a).
HTTPS podrška na strani klijenta (dig) još nije implementirana, dok je XFR-over-TLS podrška dostupna za dolazne i odlazne zahtjeve.
Obrada zahtjeva pomoću DoH i DoT omogućen je dodavanjem opcija http i tls u direktivu za preslušavanje. Da biste podržali DNS preko HTTP-a nešifriran, u konfiguraciji morate navesti "tls none". Ključevi su definirani u odjeljku "tls". Standardni mrežni priključci 853 za DoT, 443 za DoH i 80 za DNS preko HTTP-a mogu se nadjačati kroz parametre tls-port, https-port i http-port.
Među značajkama provedbe DoH-a u BIND-u, napominje se da je moguće prenijeti operacije šifriranja za TLS na drugi poslužitelj, To može biti potrebno u uvjetima kada se pohrana TLS certifikata vrši na drugom sustavu (na primjer, u infrastrukturi s web poslužiteljima), a prisustvuje i drugo osoblje.
Podrška za DNS preko HTTP-a nešifriran je implementiran radi pojednostavljenja ispravljanja pogrešaka i kao sloj za prosljeđivanje na unutarnjoj mreži, na temelju kojeg se šifriranje može organizirati na drugom poslužitelju. Na udaljenom poslužitelju nginx se može koristiti za generiranje TLS prometa, analogno načinu na koji je HTTPS vezanje organizirano za web lokacije.
Druga je značajka integracija DoH-a kao općeg prijevoza, koji se može koristiti ne samo za obradu zahtjeva klijenta za rješivač, već i za razmjenu podataka između poslužitelja, prijenos zona pomoću mjerodavnog DNS poslužitelja i obradu svih zahtjeva podržanih drugim DNS prijenosima.
Među nedostacima koje se mogu nadoknaditi onemogućavanjem kompilacije s DoH / DoT ili premještanjem šifriranja na drugi poslužitelj, istaknuta je opća komplikacija baze kodova- U sastav su dodani ugrađeni HTTP poslužitelj i TLS knjižnica, koji potencijalno mogu sadržavati ranjivosti i djelovati kao dodatni vektori napada. Također, kada se koristi DoH, promet se povećava.
Moraš to zapamtiti DNS-over-HTTPS može biti koristan za izbjegavanje curenja informacija sraditi na traženim imenima hostova putem DNS poslužitelja pružatelja usluga, boriti se protiv MITM napada i lažirati DNS promet, suprotstavljati se blokiranju na DNS razini ili organizirati rad u slučaju nemogućnosti izravnog pristupa DNS poslužiteljima.
Da, u normalnoj se situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, a zatim, u slučaju DNS preko HTTPS-a, zahtjev za određivanje IP adrese hosta inkapsuliran je u HTTPS promet i poslan na HTTP poslužitelj, u kojem razlučivač obrađuje zahtjeve putem web API-ja.
"DNS preko TLS-a" razlikuje se od "DNS-a preko HTTPS-a" korištenjem standardnog DNS protokola (obično se koristi mrežni priključak 853) umotan u šifrirani komunikacijski kanal organiziran pomoću TLS protokola s provjerom valjanosti putem TLS certifikata / SSL-a ovjeren certifikatom. autoritet.
Napokon se spominje da DoH je dostupan za testiranje u verziji 9.17.10 i DoT podrška postoji od 9.17.7, plus jednom kad se stabilizira, podrška za DoT i DoH premjestit će se u stabilnu granu 9.16.