Pembangun pelayan DNS BIND dilancarkan beberapa hari yang lalu penggabungan ke cabang eksperimen 9.17, pelaksanaan sokongan daripada pelayan untuk teknologi DNS melalui HTTPS (DoH, DNS melalui HTTPS) dan DNS melalui TLS (DoT, DNS over TLS), serta XFR.
Pelaksanaan protokol HTTP / 2 yang digunakan dalam DoH ia berdasarkan penggunaan perpustakaan nghttp2, yang termasuk dalam pergantungan binaan (di masa depan dirancang untuk memindahkan perpustakaan ke pergantungan pilihan).
Dengan konfigurasi yang tepat, satu proses bernama sekarang dapat melayani bukan hanya permintaan DNS tradisional, tetapi juga permintaan yang dikirim menggunakan DoH (DNS over HTTPS) dan DoT (DNS over TLS).
Sokongan HTTPS sisi pelanggan (penggalian) belum dilaksanakan, sementara sokongan XFR-over-TLS tersedia untuk permintaan masuk dan keluar.
Memproses permintaan menggunakan DoH dan DoT ia diaktifkan dengan menambahkan pilihan http dan tls ke arahan mendengar. Untuk menyokong DNS melalui HTTP yang tidak disulitkan, anda mesti menentukan "tls none" dalam konfigurasi. Kunci ditentukan di bahagian "tls". Port rangkaian standard 853 untuk DoT, 443 untuk DoH, dan 80 untuk DNS melalui HTTP dapat diganti melalui parameter tls-port, https-port, dan http-port.
Antara ciri pelaksanaan DoH di BIND, disoroti bahawa adalah mungkin untuk memindahkan operasi penyulitan untuk TLS ke pelayan lain, Ini mungkin diperlukan dalam keadaan di mana penyimpanan sijil TLS dilakukan pada sistem lain (misalnya, dalam infrastruktur dengan pelayan web) dan dihadiri oleh kakitangan lain.
Sokongan untuk DNS melalui HTTP yang tidak disulitkan dilaksanakan untuk memudahkan penyahpepijatan dan sebagai lapisan untuk meneruskan pada rangkaian dalaman, yang mana penyulitan dapat disusun pada pelayan lain. Pada pelayan jauh, nginx dapat digunakan untuk menghasilkan lalu lintas TLS, dengan analogi dengan cara pengikatan HTTPS diatur untuk laman web.
Ciri lain adalah penyatuan DoH sebagai pengangkutan umum, yang dapat digunakan tidak hanya untuk memproses permintaan klien kepada penyelesai, tetapi juga ketika bertukar data antara pelayan, memindahkan zon menggunakan pelayan DNS yang berwibawa, dan memproses permintaan yang didukung oleh pengangkutan DNS lain.
Antara kekurangan yang dapat diatasi dengan mematikan penyusunan dengan DoH / DoT atau memindahkan penyulitan ke pelayan lain, komplikasi umum pangkalan data diketengahkan- Pelayan HTTP dan pustaka TLS bawaan ditambahkan ke komposisi, yang berpotensi mengandungi kerentanan dan bertindak sebagai vektor serangan tambahan. Juga, semasa DoH digunakan, lalu lintas meningkat.
Kita mesti ingat bahawa DNS-over-HTTPS boleh berguna untuk mengelakkan kebocoran maklumatbekerja pada nama host yang diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan mengelak lalu lintas DNS, menyekat tahap DNS penyekat atau untuk mengatur kerja sekiranya tidak dapat mengarahkan akses ke pelayan DNS.
dan dalam keadaan biasa, permintaan DNS dihantar terus ke pelayan DNS yang ditentukan dalam konfigurasi sistem, kemudian, dalam hal DNS melalui HTTPS, permintaan untuk menentukan alamat IP host ia dikemas dalam lalu lintas HTTPS dan dikirim ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API web.
"DNS over TLS" berbeza dengan "DNS over HTTPS" dengan menggunakan protokol DNS standard (biasanya port rangkaian 853 digunakan) dibungkus dalam saluran komunikasi yang dienkripsi yang diatur menggunakan protokol TLS dengan pengesahan host melalui sijil TLS / SSL yang disahkan oleh sijil. kewibawaan.
Akhirnya, disebutkan bahawa DoH tersedia untuk ujian dalam versi 9.17.10 dan sokongan DoT telah wujud sejak 9.17.7, ditambah sekali stabil, sokongan untuk DoT dan DoH akan beralih ke cawangan stabil 9.16.