BIND DNS 서버 개발자 공개 며칠 전 실험 브랜치에 합류 9.17, 구현 지원 기술 용 서버 HTTPS를 통한 DNS (DoH, DNS over HTTPS) 및 DNS over TLS (DoT, DNS over TLS) 및 XFR.
DoH에서 사용되는 HTTP / 2 프로토콜의 구현 nghttp2 라이브러리 사용을 기반으로합니다. 이는 빌드 종속성에 포함됩니다 (향후 라이브러리를 선택적 종속성으로 전송할 계획 임).
적절한 구성을 통해 단일 명명 된 프로세스는 이제 기존 DNS 요청뿐만 아니라 DoH (DNS over HTTPS) 및 DoT (DNS over TLS)를 사용하여 전송 된 요청도 처리 할 수 있습니다.
HTTPS 클라이언트 측 지원 (dig)은 아직 구현되지 않았습니다. XFR-over-TLS 지원은 수신 및 발신 요청에 사용할 수 있습니다.
DoH 및 DoT를 사용하여 요청 처리 listen-on 지시문에 http 및 tls 옵션을 추가하여 활성화됩니다. 암호화되지 않은 HTTP를 통한 DNS를 지원하려면 구성에서 "tls none"을 지정해야합니다. 키는 "tls"섹션에 정의되어 있습니다. DoT 용 표준 네트워크 포트 853, DoH 용 443, HTTP를 통한 DNS 용 80은 tls-port, https-port 및 http-port 매개 변수를 통해 재정의 할 수 있습니다.
기능 중 BIND에서 DoH 구현의 TLS에 대한 암호화 작업을 다른 서버로 전송할 수 있습니다. 이는 TLS 인증서 저장이 다른 시스템 (예 : 웹 서버가있는 인프라)에서 수행되고 다른 직원이 참석하는 조건에서 필요할 수 있습니다.
을지 지하다 디버깅을 단순화하기 위해 암호화되지 않은 HTTP를 통한 DNS가 구현됩니다. 내부 네트워크에서 포워딩을위한 계층으로서 암호화를 기반으로 다른 서버에 배치 할 수 있습니다. 원격 서버에서 nginx는 사이트에 대해 HTTPS 바인딩이 구성되는 방식과 유사하게 TLS 트래픽을 생성하는 데 사용할 수 있습니다.
또 다른 기능은 DoH를 일반 전송으로 통합하는 것입니다. 리졸버에 대한 클라이언트 요청을 처리 할뿐만 아니라 서버간에 데이터를 교환하고 권한있는 DNS 서버를 사용하여 영역을 전송하고 다른 DNS 전송에서 지원하는 모든 요청을 처리 할 때도 사용할 수 있습니다.
DoH / DoT로 컴파일을 비활성화하거나 암호화를 다른 서버로 이동하여 보완 할 수있는 단점 중, 코드베이스의 일반적인 복잡성이 강조됩니다.-기본 제공 HTTP 서버 및 TLS 라이브러리가 구성에 추가되어 잠재적으로 취약성을 포함하고 추가 공격 벡터 역할을 할 수 있습니다. 또한 DoH를 사용하면 트래픽이 증가합니다.
그걸 기억해야 해. DNS-over-HTTPS는 정보 유출을 방지하는 데 유용 할 수 있습니다.공급자의 DNS 서버를 통해 요청 된 호스트 이름에 대해 작업하고, MITM 공격과 스푸핑 DNS 트래픽을 방지하고, DNS 수준 차단에 대응하거나, DNS 서버에 직접 액세스 할 수없는 경우 작업을 구성합니다.
예, 정상적인 상황에서는 DNS 요청이 직접 전송됩니다. 시스템 구성에 정의 된 DNS 서버에 HTTPS를 통한 DNS, 호스트의 IP 주소를 결정하기위한 요청 HTTPS 트래픽에 캡슐화되어 HTTP 서버로 전송됩니다. 리졸버는 웹 API를 통해 요청을 처리합니다.
"DNS over TLS"는 TLS 인증서 / 인증에 의해 인증 된 SSL을 통한 호스트 유효성 검사와 함께 TLS 프로토콜을 사용하여 구성된 암호화 된 통신 채널에 래핑 된 표준 DNS 프로토콜 (일반적으로 네트워크 포트 853이 사용됨)을 사용한다는 점에서 "DNS over HTTPS"와 다릅니다. 권위.
마지막으로 DoH는 버전 9.17.10에서 테스트 할 수 있습니다. 그리고 DoT 지원은 9.17.7 이후에 있었고 안정화되면 DoT 및 DoH에 대한 지원은 9.16 안정 브랜치로 이동할 것입니다.