BIND DNS huet elo experimentell DNS Support iwwer HTTPS

D'BIND DNS Server Entwéckler enthüllt virun e puer Deeg bei der experimenteller Branche 9.17, d'Ëmsetzung vun Ënnerstëtzung vun Server fir Technologien DNS iwwer HTTPS (DoH, DNS iwwer HTTPS) an DNS iwwer TLS (DoT, DNS iwwer TLS), souwéi XFR.

D'Ëmsetzung vum HTTP / 2 Protokoll deen am DoH benotzt gëtt baséiert op der Notzung vun der nghttp2 Bibliothéik, déi an de Bau Ofhängegkeeten abegraff ass (an der Zukunft ass geplangt d'Bibliothéik un déi optional Ofhängegkeeten ze transferéieren).

Mat enger korrekter Konfiguratioun kann een eenzegen benannte Prozess elo net nëmmen traditionell DNS Ufroen, awer och Ufroe mat DoH (DNS iwwer HTTPS) an DoT (DNS iwwer TLS) verschécken.

HTTPS Client-Säit Support (Dig) ass nach net implementéiert, wärend XFR-iwwer-TLS Support verfügbar ass fir ankomend an ausgaang Ufroen.

Veraarbechtung vun Ufroen mat DoH an DoT et ass aktivéiert andeems Dir http an tls Optiounen op d'Lauschter-Direktiv bäifüügt. Fir DNS iwwer HTTP onverschlësselt z'ënnerstëtzen, musst Dir "tls none" an der Konfiguratioun spezifizéieren. Schlëssele sinn an der Rubrik "tls" definéiert. D'Standard Netzwierk Ports 853 fir DoT, 443 fir DoH an 80 fir DNS iwwer HTTP kënnen iwwer den tls-port, https-port an http-port Parameteren iwwerschriwwe ginn.

Ënnert de Featuren vun der Ëmsetzung vun DoH an BIND, et gëtt bemierkt datt et méiglech ass Verschlësselungsoperatioune fir TLS op en anere Server ze transferéieren, Dëst kann noutwendeg sinn ënner Bedingungen wou d'Späichere vun TLS Zertifikaten op engem anere System gemaach gëtt (zum Beispill an enger Infrastruktur mat Webserver) a vun anere Mataarbechter besicht gëtt.

Ënnerstëtzung fir DNS iwwer HTTP onverschlësselt gëtt implementéiert fir Debuggen ze vereinfachen an als Schicht fir Forwarding am internen Netzwierk, op der Basis vun där Verschlësselung kann op engem anere Server arrangéiert ginn. Op engem Remote Server kann nginx benotzt ginn fir TLS Traffic ze generéieren, par Analogie mat der Aart a Weis wéi HTTPS Bindung fir Site organiséiert ass.

Eng aner Feature ass d'Integratioun vun DoH als allgemengen Transport, déi benotzt kënne ginn net nëmme fir Client Ufroen un de Resolver ze verschaffen, awer och beim Austausch vun Daten tëscht Serveren, Zonen iwwerdroen mat engem autoritären DNS Server, an all Ufroen ze veraarbecht déi vun aneren DNS Transporter ënnerstëtzt ginn.

Ënnert de Mängel déi kompenséiert kënne ginn andeems d'Kompilatioun mam DoH / DoT deaktivéiert gëtt oder d'Verschlësselung op en anere Server bewegt. déi allgemeng Komplikatioun vun der Codebasis gëtt beliicht- E gebauten HTTP Server an TLS Bibliothéik ginn zu der Zesummesetzung bäigefüügt, déi potenziell Schwachstelle enthalen an als zousätzlech Attackvektoren handelen. Och wann DoH benotzt gëtt, klëmmt den Traffic.

Denkt drun DNS-over-HTTPS kann nëtzlech sinn fir Informatiounsleef ze vermeidenAarbecht u gefrote Hostnimm duerch den DNS Server vun de Fournisseuren, bekämpft MITM Attacken a spoof DNS Traffic, entgéintwierken DNS-Niveau blockéieren oder d'Aarbecht z'organiséieren am Fall vun der Onméiglechkeet vun direkten Zougang zu DNS Serveren.

Jo, an enger normaler Situatioun ginn DNS Ufroen direkt geschéckt op d'DNS Server an der Systemkonfiguratioun definéiert, dann, am Fall vun DNS iwwer HTTPS, d'Ufro fir d'IP Adress vum Host ze bestëmmen et ass am HTTPS Traffic agekapselt an op den HTTP Server geschéckt, an deem de Resolver Ufroen duerch de Web API veraarbecht.

"DNS iwwer TLS" ënnerscheet sech vun "DNS iwwer HTTPS" mam Standard DNS Protokoll (typesch Netzwierkport 853 gëtt benotzt) gewéckelt an engem verschlësselte Kommunikatiounskanal organiséiert mam TLS Protokoll mat Hostvalidatioun duerch TLS Zertifikaten / SSL zertifizéiert vun enger Zertifizéierung. Autoritéit. 

Endlech gëtt et erwähnt datt DoH ass verfügbar fir ze testen an der Versioun 9.17.10 an DoT Support existéiert zënter 9.17.7, plus eemol stabiliséiert, Ënnerstëtzung fir DoT an DoH wäert an d'9.16 stabil Branche réckelen.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.