Zbulohen zhvilluesit e serverit BIND DNS disa ditë më parë përfshirja në degën eksperimentale 9.17, zbatimi i mbështetjen e server për teknologji DNS mbi HTTPS (DoH, DNS mbi HTTPS) dhe DNS mbi TLS (DoT, DNS mbi TLS), si dhe XFR.
Zbatimi i protokollit HTTP / 2 i përdorur në DoH bazohet në përdorimin e bibliotekës nghttp2, e cila përfshihet në varësitë e ndërtimit (në të ardhmen është planifikuar të transferohet biblioteka në varësitë opcionale).
Me konfigurimin e duhur, një proces i vetëm me emër tani mund të shërbejë jo vetëm kërkesa tradicionale DNS, por edhe kërkesa të dërguara duke përdorur DoH (DNS mbi HTTPS) dhe DoT (DNS mbi TLS).
Mbështetja nga ana e klientit HTTPS (gërmimi) nuk është zbatuar ende, ndërsa mbështetja XFR mbi-TLS është e disponueshme për kërkesa përbrenda dhe përbrenda.
Përpunimi i kërkesave duke përdorur DoH dhe DoT mundësohet duke shtuar opsionet http dhe tls në direktivën e dëgjimit. Për të mbështetur DNS mbi HTTP të pakriptuar, duhet të specifikoni "tls asnjë" në konfigurim. Çelësat përcaktohen në seksionin "tls". Portat standarde të rrjetit 853 për DoT, 443 për DoH dhe 80 për DNS mbi HTTP mund të mbizotërohen përmes parametrave të portit tls, portit https dhe portit http.
Ndër tiparet të zbatimit të DoH në BIND, theksohet se është e mundur të transferohen operacionet e kriptimit për TLS në një server tjetër, Kjo mund të jetë e nevojshme në kushtet kur ruajtja e certifikatave TLS bëhet në një sistem tjetër (për shembull, në një infrastrukturë me servera në internet) dhe ndiqet nga personeli tjetër.
Mbeshtetje per Zbatohet DNS mbi HTTP i pakriptuar për të thjeshtuar korrigjimin e gabimeve dhe si një shtresë për përcjelljen në rrjetin e brendshëm, në bazë të së cilës mund të rregullohet kriptimi në një server tjetër. Në një server të largët, nginx mund të përdoret për të gjeneruar trafik TLS, për analogji me mënyrën e organizimit të lidhjes HTTPS për faqet.
Karakteristikë tjetër është integrimi i DoH si një transport i përgjithshëm, që mund të përdoret jo vetëm për të përpunuar kërkesat e klientit tek zgjidhësi, por gjithashtu edhe kur shkëmbejmë të dhëna midis serverave, transferimin e zonave duke përdorur një server DNS autoritar dhe përpunimin e çdo kërkese të mbështetur nga transporte të tjera DNS.
Ndër të metat që mund të kompensohen duke çaktivizuar përpilimin me DoH / DoT ose duke zhvendosur kriptimin në një server tjetër, theksohet ndërlikimi i përgjithshëm i bazës kodike- Një përbërës server i integruar HTTP dhe biblioteka TLS shtohen në përbërje, e cila potencialisht mund të përmbajë dobësi dhe të veprojë si vektorë shtesë sulmi. Gjithashtu, kur përdoret DoH, trafiku rritet.
Ju duhet të mbani mend atë DNS-mbi-HTTPS mund të jetë e dobishme për të shmangur rrjedhjet e informacionitpunoni në emrat e kërkuar të pritësve përmes serverave DNS të ofruesve, luftoni sulmet MITM dhe mashtroni trafikun DNS, kundërshtoni bllokimin e nivelit DNS ose për të organizuar punën në rast të pamundësisë për të drejtuar hyrjen në serverat DNS.
nëse, në një situatë normale, kërkesat e DNS dërgohen direkt te serverat DNS të përcaktuar në konfigurimin e sistemit, atëherë, në rastin e DNS mbi HTTPS, kërkesa për të përcaktuar adresën IP të hostit është e kapsuluar në trafikun HTTPS dhe dërguar në serverin HTTP, në të cilën zgjidhësi përpunon kërkesat përmes ueb API.
"DNS mbi TLS" ndryshon nga "DNS mbi HTTPS" duke përdorur protokollin standard DNS (zakonisht përdoret porti i rrjetit 853) mbështjellë në një kanal komunikimi të koduar të organizuar duke përdorur protokollin TLS me vërtetimin e hostit përmes çertifikatave TLS / SSL të çertifikuara nga një çertifikim. autoriteti
Në fund, përmendet se DoH është në dispozicion për testim në versionin 9.17.10 dhe mbështetja e DoT ka ekzistuar që nga 9.17.7, plus një herë e stabilizuar, mbështetja për DoT dhe DoH do të zhvendoset në degën e qëndrueshme 9.16.