เปิดตัวนักพัฒนาเซิร์ฟเวอร์ BIND DNS หลายวันก่อน เข้าร่วมสาขาการทดลอง 9.17, การดำเนินงานของ การสนับสนุนของ เซิร์ฟเวอร์สำหรับเทคโนโลยี DNS ผ่าน HTTPS (DoH, DNS ผ่าน HTTPS) และ DNS ผ่าน TLS (DoT, DNS ผ่าน TLS) และ XFR
การใช้งานโปรโตคอล HTTP / 2 ที่ใช้ใน DoH ขึ้นอยู่กับการใช้ไลบรารี nghttp2 ซึ่งรวมอยู่ในการอ้างอิงของการสร้าง (ในอนาคตมีการวางแผนที่จะถ่ายโอนไลบรารีไปยังการอ้างอิงทางเลือก)
ด้วยการกำหนดค่าที่เหมาะสมกระบวนการที่มีชื่อเดียวสามารถให้บริการได้ไม่เพียง แต่คำขอ DNS แบบเดิมเท่านั้น แต่ยังรวมถึงคำขอที่ส่งโดยใช้ DoH (DNS ผ่าน HTTPS) และ DoT (DNS ผ่าน TLS)
ยังไม่มีการใช้การสนับสนุนฝั่งไคลเอ็นต์ HTTPS (ขุด) ในขณะที่การสนับสนุน XFR-over-TLS พร้อมใช้งานสำหรับคำขอขาเข้าและขาออก
การประมวลผลคำขอโดยใช้ DoH และ DoT เปิดใช้งานโดยการเพิ่มตัวเลือก http และ tls ในคำสั่ง Listen-on ในการรองรับ DNS ผ่าน HTTP ที่ไม่เข้ารหัสคุณต้องระบุ "tls none" ในการกำหนดค่า คีย์ถูกกำหนดไว้ในส่วน "tls" พอร์ตเครือข่ายมาตรฐาน 853 สำหรับ DoT, 443 สำหรับ DoH และ 80 สำหรับ DNS ผ่าน HTTP สามารถแทนที่ผ่านพารามิเตอร์ tls-port, https-port และ http-port
ในบรรดาคุณสมบัติต่างๆ ของการใช้ DoH ใน BIND มีข้อสังเกตว่าเป็นไปได้ที่จะถ่ายโอนการดำเนินการเข้ารหัสสำหรับ TLS ไปยังเซิร์ฟเวอร์อื่น สิ่งนี้อาจจำเป็นในเงื่อนไขที่การจัดเก็บใบรับรอง TLS ทำบนระบบอื่น (เช่นในโครงสร้างพื้นฐานที่มีเว็บเซิร์ฟเวอร์) และมีบุคลากรอื่นเข้าร่วม
การสนับสนุน DNS ผ่าน HTTP ที่ไม่เข้ารหัสถูกนำมาใช้เพื่อลดความซับซ้อนของการดีบัก และเป็นเลเยอร์สำหรับการส่งต่อบนเครือข่ายภายในซึ่งสามารถจัดเรียงการเข้ารหัสบนเซิร์ฟเวอร์อื่นได้ บนเซิร์ฟเวอร์ระยะไกลสามารถใช้ nginx เพื่อสร้างทราฟฟิก TLS โดยเปรียบเทียบกับวิธีจัดระเบียบการเชื่อมโยง HTTPS สำหรับไซต์
คุณสมบัติอีกประการหนึ่งคือการรวม DoH เข้ากับการขนส่งทั่วไป ซึ่งสามารถใช้ไม่เพียง แต่เพื่อประมวลผลคำขอของไคลเอ็นต์ไปยังตัวแก้ไข แต่ยังใช้เมื่อแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์เมื่อถ่ายโอนโซนโดยใช้เซิร์ฟเวอร์ DNS ที่เชื่อถือได้และเมื่อประมวลผลคำขอใด ๆ ที่รองรับโดยการขนส่ง DNS อื่น ๆ
ในบรรดาข้อบกพร่องที่สามารถเกิดขึ้นได้โดยการปิดใช้งานการคอมไพล์ด้วย DoH / DoT หรือย้ายการเข้ารหัสไปยังเซิร์ฟเวอร์อื่น ความซับซ้อนทั่วไปของ codebase ถูกเน้น- เซิร์ฟเวอร์ HTTP ในตัวและไลบรารี TLS ถูกเพิ่มเข้าไปในองค์ประกอบซึ่งอาจมีช่องโหว่และทำหน้าที่เป็นเวกเตอร์การโจมตีเพิ่มเติม นอกจากนี้เมื่อใช้ DoH ปริมาณการใช้งานจะเพิ่มขึ้น
คุณต้องจำไว้ DNS-over-HTTPS มีประโยชน์ในการหลีกเลี่ยงการรั่วไหลของข้อมูลทำงานกับชื่อโฮสต์ที่ร้องขอผ่านเซิร์ฟเวอร์ DNS ของผู้ให้บริการต่อสู้กับการโจมตี MITM และการรับส่งข้อมูล DNS ที่หลอกลวงต่อต้านการบล็อกระดับ DNS หรือเพื่อจัดระเบียบงานในกรณีที่ไม่สามารถเข้าถึงเซิร์ฟเวอร์ DNS ได้โดยตรง
ถ้า ในสถานการณ์ปกติคำขอ DNS จะถูกส่งโดยตรง ไปยังเซิร์ฟเวอร์ DNS ที่กำหนดไว้ในการกำหนดค่าระบบจากนั้นในกรณีของ DNS ผ่าน HTTPS คำขอเพื่อกำหนดที่อยู่ IP ของโฮสต์ มันถูกห่อหุ้มในการรับส่งข้อมูล HTTPS และส่งไปยังเซิร์ฟเวอร์ HTTP ซึ่งตัวแก้ไขประมวลผลคำขอผ่านเว็บ API
"DNS ผ่าน TLS" แตกต่างจาก "DNS ผ่าน HTTPS" โดยใช้โปรโตคอล DNS มาตรฐาน (โดยทั่วไปจะใช้พอร์ตเครือข่าย 853) ซึ่งรวมอยู่ในช่องทางการสื่อสารที่เข้ารหัสซึ่งจัดระเบียบโดยใช้โปรโตคอล TLS พร้อมการตรวจสอบโฮสต์ผ่านใบรับรอง TLS / SSL ที่ได้รับการรับรองโดยการรับรอง ผู้มีอำนาจ.
ในที่สุดก็มีการกล่าวถึงว่า DoH พร้อมให้ทดสอบในเวอร์ชัน 9.17.10 และการสนับสนุน DoT นั้นมีมาตั้งแต่ 9.17.7 บวกกับเมื่อเสถียรแล้วการรองรับ DoT และ DoH จะย้ายไปที่สาขาที่เสถียร 9.16