Razkrili so razvijalci BIND DNS strežnika pred nekaj dnevi pridružitev eksperimentalni veji 9.17, izvajanje podpora strežnik za tehnologije DNS prek HTTPS (DoH, DNS prek HTTPS) in DNS prek TLS (DoT, DNS prek TLS), pa tudi XFR.
Izvajanje protokola HTTP / 2, ki se uporablja v DoH temelji na uporabi knjižnice nghttp2, ki je vključena v odvisnosti gradnje (v prihodnosti se načrtuje prenos knjižnice v neobvezne odvisnosti).
Z ustrezno konfiguracijo lahko en poimenovan postopek zdaj servisira ne samo tradicionalne zahteve DNS, temveč tudi zahteve, poslane z uporabo DoH (DNS prek HTTPS) in DoT (DNS prek TLS).
Podpora na strani odjemalca HTTPS (dig) še ni izvedena, medtem ko je za dohodne in odhodne zahteve na voljo podpora XFR-over-TLS.
Obdelava zahtev z uporabo DoH in DoT omogočeno je z dodajanjem možnosti http in tls direktivi o poslušanju. Če želite podpirati DNS prek HTTP nešifrirano, morate v konfiguraciji podati "tls none". Ključi so opredeljeni v razdelku "tls". Standardna omrežna vrata 853 za DoT, 443 za DoH in 80 za DNS prek HTTP lahko preglasite s parametri tls-port, https-port in http-port.
Med značilnostmi izvajanja DoH v BIND, opozoriti je treba, da je mogoče operacije šifriranja za TLS prenesti na drug strežnik, To je morda potrebno v pogojih, ko se potrdila TLS shranjujejo v drugem sistemu (na primer v infrastrukturi s spletnimi strežniki) in se ga udeleži drugo osebje.
Podpora za Za poenostavitev odpravljanja napak je implementiran nešifriran DNS prek HTTP in kot plast za posredovanje v notranjem omrežju, na podlagi katere je mogoče na drugem strežniku urediti šifriranje. Na oddaljenem strežniku lahko nginx uporabljamo za ustvarjanje prometa TLS, po analogiji z načinom organiziranja vezave HTTPS za spletna mesta.
Druga značilnost je vključitev DoH kot splošnega prevoza, ki se lahko uporablja ne samo za obdelavo zahtev odjemalca za razreševalnik, temveč tudi pri izmenjavi podatkov med strežniki, prenosu con z uporabo avtoritativnega strežnika DNS in obdelavi vseh zahtev, ki jih podpirajo drugi prenosi DNS.
Med pomanjkljivostmi, ki jih je mogoče odpraviti tako, da onemogočite prevajanje z DoH / DoT ali premaknete šifriranje na drug strežnik, poudarjen je splošni zaplet kodne baze- V sestavo sta dodana vgrajeni strežnik HTTP in knjižnica TLS, ki lahko vsebuje ranljivosti in deluje kot dodatni vektor napadov. Ko se uporablja DoH, se promet poveča.
Tega se moramo spomniti DNS-over-HTTPS je lahko koristen za preprečevanje uhajanja informacijdelati na zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, se boriti proti napadom MITM in podvajati promet DNS, preprečevati blokiranje na ravni DNS ali organizirati delo v primeru nemogoče neposrednega dostopa do strežnikov DNS.
Da, v običajnem primeru se zahteve DNS pošljejo neposredno na strežnike DNS, definirane v sistemski konfiguraciji, nato v primeru DNS prek HTTPS, zahteva za določitev naslova IP gostitelja je vključen v promet HTTPS in poslan na strežnik HTTP, v katerem razreševalec obdela zahteve prek spletnega API-ja.
"DNS prek TLS" se razlikuje od "DNS prek HTTPS" s standardnim protokolom DNS (običajno se uporabljajo omrežna vrata 853), ovit v šifrirani komunikacijski kanal, organiziran po protokolu TLS z validacijo gostitelja s potrdili TLS / SSL, potrjenimi s certifikatom. oblasti.
Na koncu je omenjeno še to DoH je na voljo za testiranje v različici 9.17.10 in podpora za DoT obstaja že od 9.17.7, ko pa se bo stabilizacija podpore za DoT in DoH premaknila v stabilno vejo 9.16.