Dezvoltatorii de server BIND DNS au dezvăluit acum câteva zile aderarea la ramura experimentală 9.17, implementarea suportul server pentru tehnologii DNS prin HTTPS (DoH, DNS prin HTTPS) și DNS peste TLS (DoT, DNS peste TLS), precum și XFR.
Implementarea protocolului HTTP / 2 utilizat în DoH se bazează pe utilizarea bibliotecii nghttp2, care este inclus în dependențele de construire (în viitor se planifică transferul bibliotecii în dependențele opționale).
Cu o configurare adecvată, un singur proces numit poate deservi acum nu numai cererile DNS tradiționale, ci și cererile trimise utilizând DoH (DNS prin HTTPS) și DoT (DNS prin TLS).
Asistența HTTPS din partea clientului (excavare) nu este încă implementată, în timp ce suportul XFR-over-TLS este disponibil pentru solicitările de intrare și de ieșire.
Procesarea cererilor utilizând DoH și DoT este activat prin adăugarea opțiunilor http și tls la directiva de ascultare. Pentru a accepta DNS prin HTTP necriptat, trebuie să specificați „tls none” în configurație. Cheile sunt definite în secțiunea „tls”. Porturile de rețea standard 853 pentru DoT, 443 pentru DoH și 80 pentru DNS prin HTTP pot fi suprascrise prin parametrii tls-port, https-port și http-port.
Printre caracteristici a implementării DoH în BIND, se remarcă faptul că este posibil să se transfere operațiuni de criptare pentru TLS către alt server, Acest lucru poate fi necesar în condițiile în care stocarea certificatelor TLS se face pe un alt sistem (de exemplu, într-o infrastructură cu servere web) și este asistat de alt personal.
Suport pentru DNS prin HTTP necriptat este implementat pentru a simplifica depanarea și ca strat pentru redirecționare pe rețeaua internă, pe baza căruia criptarea poate fi aranjată pe un alt server. Pe un server la distanță, nginx poate fi utilizat pentru a genera trafic TLS, prin analogie cu modul în care este organizată legarea HTTPS pentru site-uri.
O altă caracteristică este integrarea DoH ca transport general, care poate fi folosit nu numai pentru a procesa cererile clientului către resolver, ci și pentru schimbul de date între servere, la transferul zonelor folosind un server DNS autorizat și la procesarea oricăror cereri acceptate de alte transporturi DNS.
Printre neajunsurile care pot fi remediate prin dezactivarea compilării cu DoH / DoT sau mutarea criptării pe alt server, se evidențiază complicația generală a bazei de cod- La compoziție se adaugă un server HTTP încorporat și o bibliotecă TLS, care pot conține vulnerabilități și pot acționa ca vectori de atac suplimentari. De asemenea, când se folosește DoH, traficul crește.
Trebuie să-ți amintești asta DNS-over-HTTPS poate fi util pentru a evita scurgerile de informațiilucrați la numele de gazdă solicitate prin serverele DNS ale furnizorilor, combateți atacurile MITM și falsificați traficul DNS, contracarați blocarea la nivel DNS sau pentru a organiza munca în caz de imposibilitate a accesului direct la serverele DNS.
Da, într-o situație normală, solicitările DNS sunt trimise direct la serverele DNS definite în configurația sistemului, apoi, în cazul DNS prin HTTPS, cererea de a determina adresa IP a gazdei este încapsulat în trafic HTTPS și trimis la serverul HTTP, în care rezolvatorul procesează solicitările prin intermediul API-ului web.
„DNS peste TLS” diferă de „DNS peste HTTPS” prin utilizarea protocolului DNS standard (de obicei se folosește portul de rețea 853) înfășurat într-un canal de comunicație criptat organizat folosind protocolul TLS cu validare gazdă prin certificate TLS / SSL certificate printr-o certificare. autoritate.
În cele din urmă, se menționează că DoH este disponibil pentru testare în versiunea 9.17.10 iar suportul DoT a existat de la 9.17.7, plus odată stabilizat, suportul pentru DoT și DoH se va muta la ramura stabilă 9.16.