Представлены разработчики DNS-сервера BIND несколько дней назад присоединение к экспериментальной ветке 9.17, реализация поддержка сервер для технологий DNS через HTTPS (DoH, DNS через HTTPS) и DNS через TLS (DoT, DNS через TLS), а также XFR.
Реализация протокола HTTP / 2, используемого в DoH основан на использовании библиотеки nghttp2, который входит в зависимости сборки (в будущем планируется перевод библиотеки в дополнительные зависимости).
При правильной настройке один именованный процесс теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS через HTTPS) и DoT (DNS через TLS).
Поддержка HTTPS на стороне клиента (копать) еще не реализована, в то время как поддержка XFR-over-TLS доступна для входящих и исходящих запросов.
Обработка запросов с использованием DoH и DoT он включается добавлением параметров http и tls в директиву listen-on. Для поддержки незашифрованного DNS через HTTP вы должны указать "tls none" в конфигурации. Ключи определены в разделе «tls». Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS через HTTP могут быть переопределены с помощью параметров tls-port, https-port и http-port.
Среди особенностей реализации DoH в BIND, отмечается, что есть возможность переноса операций шифрования для TLS на другой сервер, Это может быть необходимо в условиях, когда сертификаты TLS хранятся в другой системе (например, в инфраструктуре с веб-серверами) и обслуживаются другим персоналом.
Поддержка для Незашифрованный DNS через HTTP реализован для упрощения отладки. и как уровень для пересылки во внутренней сети, на основе которого может быть организовано шифрование на другом сервере. На удаленном сервере nginx можно использовать для генерации TLS-трафика по аналогии с тем, как организована привязка HTTPS для сайтов.
Еще одна особенность - интеграция DoH как общего транспорта, который может использоваться не только для обработки клиентских запросов к преобразователю, но также при обмене данными между серверами, передаче зон с использованием полномочного DNS-сервера и обработке любых запросов, поддерживаемых другими DNS-транспортами.
Среди недостатков, которые можно исправить, отключив компиляцию с помощью DoH / DoT или перенеся шифрование на другой сервер, выделено общее усложнение кодовой базы- В состав добавлены встроенный HTTP-сервер и библиотека TLS, которые потенциально могут содержать уязвимости и выступать в качестве дополнительных векторов атак. Также при использовании DoH увеличивается трафик.
Вы должны помнить это DNS-over-HTTPS может быть полезен, чтобы избежать утечки информации.работать с запрашиваемыми именами хостов через DNS-серверы провайдеров, бороться с MITM-атаками и подделкой DNS-трафика, противодействовать блокировке на уровне DNS или организовывать работу в случае невозможности прямого доступа к DNS-серверам.
Да, в нормальной ситуации запросы DNS отправляются напрямую к DNS-серверам, определенным в конфигурации системы, то в случае DNS через HTTPS, запрос на определение IP-адреса хоста он инкапсулируется в HTTPS-трафик и отправляется на HTTP-сервер, в котором преобразователь обрабатывает запросы через веб-API.
«DNS через TLS» отличается от «DNS через HTTPS» тем, что использует стандартный протокол DNS (обычно используется сетевой порт 853), заключенный в зашифрованный канал связи, организованный с использованием протокола TLS с проверкой хоста с помощью сертификатов TLS / SSL, сертифицированных сертификацией. орган власти.
Наконец, упоминается, что DoH доступен для тестирования в версии 9.17.10. а поддержка DoT существует с 9.17.7, плюс после стабилизации поддержка DoT и DoH переместится в стабильную ветку 9.16.