מפתחי שרת ה- DNS של BIND חשפו לפני כמה ימים הצטרפות לענף הניסוי 9.17, ההטמעה של תמיכה של שרת לטכנולוגיות DNS על HTTPS (DoH, DNS על HTTPS) ו- DNS על TLS (DoT, DNS מעל TLS), כמו גם XFR.
יישום פרוטוקול HTTP / 2 המשמש ב- DoH מבוסס על שימוש בספריית nghttp2, שנכלל בתלות הבנייה (בעתיד מתוכנן להעביר את הספרייה לתלות האופציונלית).
עם תצורה נכונה, תהליך בעל שם יחיד יכול כעת לשרת לא רק בקשות DNS מסורתיות, אלא גם בקשות שנשלחות באמצעות DoH (DNS מעל HTTPS) ו- DoT (DNS מעל TLS).
התמיכה בצד הלקוח של HTTPS (dig) עדיין לא מיושמת, בעוד שתמיכה ב- XFR-over-TLS זמינה לבקשות נכנסות ויוצאות.
עיבוד בקשות באמצעות DoH ו- DoT זה מופעל על ידי הוספת האפשרויות http ו- tls להוראת ההאזנה. כדי לתמוך ב- DNS דרך HTTP ללא הצפנה, עליך לציין "tls none" בתצורה. מפתחות מוגדרים בסעיף "tls". ניתן לבטל את יציאות הרשת הסטנדרטיות 853 עבור DoT, 443 עבור DoH ו- 80 עבור DNS באמצעות HTTP באמצעות הפרמטרים tls-port, https-port ו- http-port.
בין התכונות של יישום DoH ב- BIND, יצוין כי ניתן להעביר פעולות הצפנה עבור TLS לשרת אחר, זה עשוי להיות נחוץ בתנאים שבהם אחסון אישורי TLS מתבצע במערכת אחרת (למשל, בתשתית עם שרתי אינטרנט) ומגיע אליו צוות אחר.
תמיכה ל DNS באמצעות HTTP ללא הצפנה מיושם כדי לפשט ניפוי באגים וכשכבה להעברה ברשת הפנימית, שעל בסיסה ניתן לארגן הצפנה בשרת אחר. בשרת מרוחק, ניתן להשתמש ב- nginx ליצירת תעבורת TLS, באנלוגיה לאופן שבו מאורגנת כריכת HTTPS לאתרים.
מאפיין נוסף הוא שילוב ה- DoH כתחבורה כללית, אשר יכולים לשמש לא רק לצורך עיבוד בקשות לקוח לפותר, אלא גם בעת החלפת נתונים בין שרתים, בעת העברת אזורים באמצעות שרת DNS סמכותי, ובעיבוד בקשות הנתמכות בהובלות DNS אחרות.
בין החסרונות שניתן לפצות על ידי השבתת הידור עם DoH / DoT או העברת ההצפנה לשרת אחר, הסיבוך הכללי של בסיס הקוד מודגש- לקומפוזיציה מתווסף שרת HTTP מובנה וספריית TLS, העלולים להכיל פרצות ולשמש כקטורי תקיפה נוספים. כמו כן, כאשר משתמשים ב- DoH, התנועה גוברת.
עלינו לזכור זאת DNS-over-HTTPS יכול להיות שימושי כדי למנוע דליפות מידעלעבוד על שמות מארחים מבוקשים באמצעות שרתי ה- DNS של הספקים, להילחם בהתקפות MITM ולזייף תעבורת DNS, לנטרל חסימה ברמת DNS או לארגן עבודה במקרה של אי אפשרות לגישה ישירה לשרתי DNS.
אם, במצב רגיל, בקשות DNS נשלחות ישירות לשרתי ה- DNS שהוגדרו בתצורת המערכת, אם כן, במקרה של DNS על HTTPS, הבקשה לקביעת כתובת ה- IP של המארח הוא נעטף בתעבורת HTTPS ונשלח לשרת HTTP, שבו הפותר מעבד בקשות דרך ה- API של האינטרנט.
"DNS מעל TLS" שונה מ- "DNS מעל HTTPS" על ידי שימוש בפרוטוקול DNS הסטנדרטי (בדרך כלל משתמשים ביציאת רשת 853) עטוף בערוץ תקשורת מוצפן המאורגן באמצעות פרוטוקול TLS עם אימות מארח באמצעות אישורי TLS / SSL מאושרים על ידי הסמכה. רָשׁוּת.
לבסוף מוזכר כי DoH זמין לבדיקה בגרסה 9.17.10 ותמיכת DoT קיימת מאז 9.17.7, בנוסף לאחר שהתייצבה, תמיכה ב- DoT ו- DoH תעבור לסניף היציב 9.16.