BIND DNS-serverutvecklarna avslöjade för flera dagar sedan gå med i experimentgrenen 9.17, genomförandet av stöd för server för teknik DNS över HTTPS (DoH, DNS över HTTPS) och DNS över TLS (DoT, DNS över TLS), liksom XFR.
Implementeringen av HTTP / 2-protokollet som används i DoH är baserad på användningen av nghttp2-biblioteket, som ingår i byggberoenden (i framtiden är det planerat att överföra biblioteket till valfria beroenden).
Med korrekt konfiguration kan en enda namngiven process nu inte bara betjäna traditionella DNS-förfrågningar utan också förfrågningar som skickas med DoH (DNS över HTTPS) och DoT (DNS över TLS).
HTTPS-klientsidesupport (dig) är ännu inte implementerat, medan XFR-över-TLS-stöd är tillgängligt för inkommande och utgående förfrågningar.
Behandla förfrågningar med DoH och DoT det aktiveras genom att lägga till alternativen http och tls i lyssningsdirektivet. För att stödja DNS över HTTP okrypterad måste du ange "tls none" i konfigurationen. Nycklar definieras i avsnittet "tls". Standardnätverksportarna 853 för DoT, 443 för DoH och 80 för DNS över HTTP kan åsidosättas genom parametrarna tls-port, https-port och http-port.
Bland funktionerna av implementeringen av DoH i BIND, det noteras att det är möjligt att överföra krypteringsoperationer för TLS till en annan server, Detta kan vara nödvändigt under förhållanden där lagring av TLS-certifikat sker på ett annat system (till exempel i en infrastruktur med webbservrar) och annan personal deltar i.
Stöd för DNS över HTTP okrypterad implementeras för att förenkla felsökning och som ett lager för vidarebefordran i det interna nätverket, på grundval av vilket kryptering kan ordnas på en annan server. På en fjärrserver kan nginx användas för att generera TLS-trafik, analogt med hur HTTPS-bindning är organiserad för webbplatser.
En annan funktion är integrationen av DoH som en allmän transport, som inte bara kan användas för att behandla klientförfrågningar till resolvern utan också när man utbyter data mellan servrar, överför zoner med en auktoritativ DNS-server och bearbetar alla förfrågningar som stöds av andra DNS-transporter.
Bland bristerna som kan kompenseras genom att inaktivera kompilering med DoH / DoT eller flytta krypteringen till en annan server, den allmänna komplikationen av kodbasen är markerad- En inbyggd HTTP-server och TLS-bibliotek läggs till i kompositionen, som potentiellt kan innehålla sårbarheter och fungera som ytterligare attackvektorer. När DoH används ökar också trafiken.
Du måste komma ihåg det DNS-över-HTTPS kan vara användbart för att undvika informationsläckagearbeta med efterfrågade värdnamn genom leverantörers DNS-servrar, bekämpa MITM-attacker och förfalska DNS-trafik, motverka DNS-nivåblockering eller att organisera arbete om det inte går att få direkt tillgång till DNS-servrar.
Ja, i en normal situation skickas DNS-förfrågningar direkt till DNS-servrarna som definierats i systemkonfigurationen, då i fallet med DNS över HTTPS, begäran om att bestämma värdens IP-adress den är inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolver behandlar förfrågningar via webb-API.
"DNS över TLS" skiljer sig från "DNS över HTTPS" genom att använda standard-DNS-protokollet (vanligtvis används nätverksport 853) insvept i en krypterad kommunikationskanal organiserad med hjälp av TLS-protokollet med värdvalidering genom TLS-certifikat / SSL certifierad av en certifiering. auktoritet.
Slutligen nämns det DoH är tillgängligt för testning i version 9.17.10 och DoT-stöd har funnits sedan 9.17.7, plus en gång stabiliserat kommer support för DoT och DoH att flytta till den stabila filialen 9.16.