Pengembang server DNS BIND diluncurkan beberapa hari yang lalu bergabung dengan cabang eksperimental 9.17, implementasi dukungan dari server untuk teknologi DNS melalui HTTPS (DoH, DNS melalui HTTPS) dan DNS melalui TLS (DoT, DNS over TLS), serta XFR.
Implementasi protokol HTTP / 2 yang digunakan dalam DoH didasarkan pada penggunaan pustaka nghttp2, yang termasuk dalam dependensi build (di masa mendatang direncanakan untuk mentransfer library ke dependensi opsional).
Dengan konfigurasi yang tepat, satu proses bernama sekarang tidak hanya dapat melayani permintaan DNS tradisional, tetapi juga permintaan yang dikirim menggunakan DoH (DNS over HTTPS) dan DoT (DNS over TLS).
Dukungan sisi klien HTTPS (dig) belum diterapkan, sementara dukungan XFR-over-TLS tersedia untuk permintaan masuk dan keluar.
Memproses permintaan menggunakan DoH dan DoT itu diaktifkan dengan menambahkan opsi http dan tls ke arahan mendengarkan. Untuk mendukung DNS melalui HTTP tidak terenkripsi, Anda harus menentukan "tls none" dalam konfigurasi. Kunci ditentukan di bagian "tls". Porta jaringan standar 853 untuk DoT, 443 untuk DoH, dan 80 untuk DNS melalui HTTP dapat diganti melalui parameter tls-port, https-port, dan http-port.
Diantara fitur-fiturnya implementasi DoH di BIND, perlu dicatat bahwa dimungkinkan untuk mentransfer operasi enkripsi untuk TLS ke server lain, Ini mungkin diperlukan dalam kondisi di mana penyimpanan sertifikat TLS dilakukan di sistem lain (misalnya, dalam infrastruktur dengan server web) dan dihadiri oleh personel lain.
Mendukung DNS melalui HTTP tidak terenkripsi diimplementasikan untuk menyederhanakan proses debug dan sebagai lapisan untuk penerusan di jaringan internal, yang menjadi dasarnya enkripsi dapat diatur di server lain. Pada server jarak jauh, nginx dapat digunakan untuk menghasilkan lalu lintas TLS, dengan analogi dengan cara pengikatan HTTPS diatur untuk situs.
Fitur lainnya adalah integrasi DoH sebagai transportasi umum, yang dapat digunakan tidak hanya untuk memproses permintaan klien ke resolver, tetapi juga saat bertukar data antar server, mentransfer zona menggunakan server DNS otoritatif, dan memproses permintaan apa pun yang didukung oleh pengangkutan DNS lainnya.
Di antara kekurangan yang dapat diatasi dengan menonaktifkan kompilasi dengan DoH / DoT atau memindahkan enkripsi ke server lain, komplikasi umum dari basis kode disorot- Server HTTP bawaan dan pustaka TLS ditambahkan ke komposisi, yang berpotensi mengandung kerentanan dan bertindak sebagai vektor serangan tambahan. Juga, saat DoH digunakan, lalu lintas meningkat.
Kita harus ingat itu DNS-over-HTTPS dapat berguna untuk menghindari kebocoran informasibekerja pada nama host yang diminta melalui server DNS penyedia, memerangi serangan MITM dan spoof lalu lintas DNS, melawan pemblokiran tingkat DNS atau untuk mengatur pekerjaan jika terjadi ketidakmungkinan akses langsung ke server DNS.
Si, dalam situasi normal, permintaan DNS dikirim secara langsung ke server DNS yang ditentukan dalam konfigurasi sistem, kemudian, dalam kasus DNS melalui HTTPS, permintaan untuk menentukan alamat IP dari host itu dikemas dalam lalu lintas HTTPS dan dikirim ke server HTTP, di mana resolver memproses permintaan melalui API web.
"DNS melalui TLS" berbeda dari "DNS melalui HTTPS" dengan menggunakan protokol DNS standar (biasanya menggunakan porta jaringan 853) yang dibungkus dalam saluran komunikasi terenkripsi yang diatur menggunakan protokol TLS dengan validasi host melalui sertifikat TLS / SSL yang disertifikasi oleh sertifikasi. wewenang.
Akhirnya, disebutkan bahwa DoH tersedia untuk pengujian dalam versi 9.17.10 dan dukungan DoT telah ada sejak 9.17.7, ditambah setelah stabil, dukungan untuk DoT dan DoH akan berpindah ke cabang stabil 9.16.