Após dois anos de desenvolvimento, A ISC lançou a primeira versão estável do um novo ramo principal do servidor DNS BIND 9.18 que será suportado por três anos até o segundo trimestre de 2025 como parte de um ciclo de manutenção estendido.
O suporte para o branch 9.11 terminará em março e o branch 9.16 em meados de 2023. Um branch experimental do BIND 9.19.0 foi formado para desenvolver funcionalidades para a próxima versão estável do BIND.
O lançamento de BIND 9.18.0 se destaca por implementar suporte para tecnologias DNS sobre HTTPS (DoH, DNS sobre HTTPS) e DNS sobre TLS (DoT, DNS sobre TLS), bem como o mecanismo XoT (XFR-over-TLS para transmissão segura de conteúdo DNS em zonas TLS entre servidores (as zonas de envio e recebimento são suportadas via XoT).
Com a configuração adequada, um único processo nomeado pode agora servir não apenas consultas DNS tradicionais, mas também consultas enviadas usando DNS sobre HTTPS e DNS sobre TLS. O suporte para o cliente DNS sobre TLS está embutido no utilitário dig, que pode ser usado para enviar consultas por TLS quando o sinalizador "+tls" é especificado.
Entre as recursos da implementação do DoH no BIND, destaca o possibilidade de transferir operações de criptografia para TLS para outro servidor, o que pode ser necessário em condições em que os certificados TLS são armazenados em outro sistema (por exemplo, em uma infraestrutura com servidores da Web) e atendidos por outro pessoal. O suporte para DNS não criptografado sobre HTTP é implementado para simplificar a depuração e como uma camada para encaminhamento para outro servidor na rede interna (para mover a criptografia para um servidor separado). Em um servidor remoto, o nginx pode ser usado para gerar tráfego TLS, semelhante à forma como a associação HTTPS é organizada para sites.
Principais novidades do DNS BIND 9.18
Nesta nova versão que é apresentada podemos encontrar que configurações foram adicionadas tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer e udp-send-buffer para definir os tamanhos de buffer usados ao enviar e receber solicitações por TCP e UDP. Em servidores ocupados, aumentar os buffers de entrada evitará quedas de pacotes no momento de picos de tráfego e reduzi-los ajudará a eliminar o entupimento de memória com solicitações antigas.
Outra mudança que se destaca é que adicionou uma nova categoria de logs “rpz-passthru”, que permite registrar separadamente as ações de encaminhamento de RPZ (Response Policy Zones), além de adicionada a opção “nsdname-wait-recurse” à seção de política de resposta, quando definido como "não", as regras RPZ NSDNAME são aplicadas somente se servidores de nomes autoritativos estiverem presentes no cache para a solicitação; caso contrário, a regra RPZ NSDNAME é ignorada, mas as informações são recuperadas em segundo plano e aplicadas a solicitações subsequentes.
Para resolver problemas com fragmentação de IP ao lidar com mensagens DNS grandes, identificadas pela iniciativa DNS Flag Day 2020, o código que ajusta o tamanho do buffer EDNS caso uma consulta não seja respondida, ela foi removida do resolvedor. O tamanho do buffer EDNS agora está definido como constante (edns-udp-size) para todas as solicitações de saída.
Além disso suporte removido para arquivos de zona no formato "mapa" (mapa em formato de arquivo mestre). Recomenda-se que os usuários desse formato convertam as zonas para o formato bruto usando o utilitário named-compilezone.
Do outras mudanças que se destacam:
- Para registros com tipos HTTPS e SVCB, é implementado o processamento da seção "ADICIONAL".
- Adicionados tipos de política de atualização personalizada (krb5-subdomain-self-rhs e ms-subdomain-self-rhs) para restringir atualizações a registros SRV e PTR. Nos blocos de política de atualização, também foi adicionada a capacidade de definir limites no número de registros, separados para cada tipo.
- Adicionadas informações sobre o protocolo de transporte (UDP, TCP, TLS, HTTPS) e prefixos DNS64 à saída do utilitário dig.
- Adicionado suporte para a biblioteca OpenSSL 3.0.
- O sistema de compilação foi alterado para usar autoconf, automake e libtool.
- Removido o suporte para controladores DLZ anteriores (zonas carregáveis dinamicamente) e substituído por módulos DLZ.
- Removido o suporte de compilação e execução para a plataforma Windows. O branch mais recente que pode ser instalado no Windows é o BIND 9.16.
Finalmente Se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir