BIND DNS serveru izstrādātāji atklāja pirms vairākām dienām pievienošanās eksperimentālajai filiālei 9.17, programmas ieviešana atbalsts serveris tehnoloģijām DNS, izmantojot HTTPS (DoH, DNS, izmantojot HTTPS) un DNS, izmantojot TLS (DoT, DNS, izmantojot TLS), kā arī XFR.
DoH izmantotā HTTP / 2 protokola ieviešana ir balstīta uz nghttp2 bibliotēkas izmantošanu, kas ir iekļauts būvēšanas atkarībās (nākotnē bibliotēku plānots pārvietot uz izvēles atkarībām).
Pareizi konfigurējot, viens nosaukts process tagad var apkalpot ne tikai tradicionālos DNS pieprasījumus, bet arī pieprasījumus, kas nosūtīti, izmantojot DoH (DNS over HTTPS) un DoT (DNS over TLS).
HTTPS klienta puses atbalsts (dig) vēl nav ieviests, kamēr XFR-over-TLS atbalsts ir pieejams ienākošajiem un izejošajiem pieprasījumiem.
Pieprasījumu apstrāde, izmantojot DoH un DoT tas tiek iespējots, klausīšanās direktīvai pievienojot opcijas http un tls. Lai atbalstītu DNS šifrēšanu, izmantojot HTTP, jums konfigurācijā jānorāda “tls none”. Atslēgas ir definētas sadaļā "tls". Standarta tīkla porti 853 DoT, 443 DoH un 80 DNS, izmantojot HTTP, var tikt ignorēti, izmantojot tls-port, https-port un http-port parametrus.
Starp funkcijām no DoH ieviešanas BIND, tiek atzīmēts, ka ir iespējams TLS šifrēšanas darbības pārsūtīt uz citu serveri, Tas var būt nepieciešams apstākļos, kad TLS sertifikātu glabāšana notiek citā sistēmā (piemēram, infrastruktūrā ar tīmekļa serveriem) un to apmeklē cits personāls.
Atbalsts vietnei DNS, izmantojot HTTP nešifrētu, tiek ieviests, lai vienkāršotu atkļūdošanu un kā slānis pārsūtīšanai iekšējā tīklā, uz kura pamata šifrēšanu var sakārtot citā serverī. Attālā serverī nginx var izmantot TLS trafika ģenerēšanai pēc analoģijas ar veidu, kā vietnēm tiek organizēta HTTPS saistīšana.
Vēl viena iezīme ir DoH kā vispārēja transporta integrācija, ko var izmantot ne tikai klientu pieprasījumu apstrādei risinātājam, bet arī datu apmaiņai starp serveriem, zonu pārsūtīšanai, izmantojot autoritatīvu DNS serveri, un apstrādājot visus pieprasījumus, kurus atbalsta citi DNS transports.
Starp trūkumiem, kurus var novērst, atspējojot kompilēšanu ar DoH / DoT vai pārvietojot šifrēšanu uz citu serveri, tiek izcelta koda bāzes vispārējā sarežģītība- Kompozīcijai tiek pievienots iebūvēts HTTP serveris un TLS bibliotēka, kas potenciāli var saturēt ievainojamības un darboties kā papildu uzbrukuma vektori. Turklāt, lietojot DoH, satiksme palielinās.
Jums tas ir jāatceras DNS, izmantojot HTTPS, var būt noderīgs, lai izvairītos no informācijas noplūdesstrādājiet ar pieprasītajiem resursdatoru nosaukumiem, izmantojot pakalpojumu sniedzēju DNS serverus, apkarojiet MITM uzbrukumus un DNS satiksmes izkrāpšanu, neitralizējiet DNS līmeņa bloķēšanu vai organizējiet darbu gadījumā, ja nav iespējams tieši piekļūt DNS serveriem.
Jā, normālā situācijā DNS pieprasījumi tiek nosūtīti tieši uz DNS serveriem, kas definēti sistēmas konfigurācijā, pēc tam DNS, izmantojot HTTPS, pieprasījums noteikt resursdatora IP adresi tas ir iekapsulēts HTTPS datplūsmā un nosūtīts uz HTTP serveri, kurā risinātājs apstrādā pieprasījumus, izmantojot tīmekļa API.
"DNS over TLS" atšķiras no "DNS over HTTPS", izmantojot standarta DNS protokolu (parasti tiek izmantots tīkla 853. ports), kas iesaiņots šifrētā sakaru kanālā, kas sakārtots, izmantojot TLS protokolu ar resursdatora validāciju, izmantojot TLS sertifikātus / SSL, kas sertificēti ar sertifikātu. autoritāte.
Visbeidzot, tas ir minēts DoH ir pieejams testēšanai 9.17.10 versijā un DoT atbalsts ir bijis kopš 9.17.7. Plus, kad tas būs stabilizējies, atbalsts DoT un DoH tiks pārvietots uz 9.16 stabilu atzaru.