Ang BIND DNS ay mayroon nang pang-eksperimentong suporta sa DNS sa HTTPS

Inilantad ang mga developer ng BIND DNS server maraming araw na ang nakakalipas pagsali sa pang-eksperimentong sangay 9.17, ang pagpapatupad ng suporta ng server para sa mga teknolohiya DNS sa paglipas ng HTTPS (DoH, DNS sa paglipas ng HTTPS) at DNS sa paglipas ng TLS (DoT, DNS sa paglipas ng TLS), pati na rin ang XFR.

Ang pagpapatupad ng HTTP / 2 na protokol na ginamit sa DoH ay batay sa paggamit ng nghttp2 library, na kung saan ay kasama sa mga dependency ng build (sa hinaharap na plano na ilipat ang library sa mga opsyonal na dependency).

Sa wastong pagsasaayos, ang isang solong nagngangalang proseso ay maaari na ngayong maglingkod hindi lamang sa tradisyunal na mga kahilingan sa DNS, kundi pati na rin ang mga kahilingan na ipinadala gamit ang DoH (DNS over HTTPS) at DoT (DNS over TLS).

Ang HTTPS client-side support (maghukay) ay hindi pa naipatupad, habang ang suporta ng XFR-over-TLS ay magagamit para sa mga papasok at papalabas na mga kahilingan.

Pinoproseso ang mga kahilingan gamit ang DoH at DoT pinagana ito sa pamamagitan ng pagdaragdag ng mga pagpipilian sa http at tls sa direktibong pakikinig. Upang suportahan ang DNS sa hindi naka-encrypt na HTTP, dapat mong tukuyin ang "tls none" sa pagsasaayos. Ang mga susi ay tinukoy sa seksyong "tls". Ang karaniwang mga port ng network na 853 para sa DoT, 443 para sa DoH, at 80 para sa DNS sa paglipas ng HTTP ay maaaring ma-override sa pamamagitan ng tls-port, https-port, at http-port na mga parameter.

Kabilang sa mga tampok ng pagpapatupad ng DoH sa BIND, nabanggit na posible na ilipat ang mga pagpapatakbo ng pag-encrypt para sa TLS sa ibang server, Maaaring kailanganin ito sa mga kundisyon kung saan ang pag-iimbak ng mga sertipiko ng TLS ay ginagawa sa ibang system (halimbawa, sa isang imprastraktura na may mga web server) at dinaluhan ng iba pang mga tauhan.

Suporta para sa Ang DNS sa paglipas ng HTTP na hindi naka-encrypt ay ipinatupad upang gawing simple ang pag-debug at bilang isang layer para sa pagpapasa sa panloob na network, batay sa kung aling pag-encrypt ang maaaring isaayos sa isa pang server. Sa isang remote server, maaaring magamit ang nginx upang makabuo ng trapiko ng TLS, sa pamamagitan ng pagkakatulad sa paraan ng pag-ayos ng HTTPS para sa mga site.

Ang isa pang tampok ay ang pagsasama ng DoH bilang isang pangkalahatang transportasyon, na maaaring magamit hindi lamang upang maproseso ang mga kahilingan ng kliyente sa resolver, ngunit din kapag nagpapalitan ng data sa pagitan ng mga server, kapag naglilipat ng mga zone gamit ang isang may kapangyarihan na DNS server, at kapag pinoproseso ang anumang mga kahilingan na suportado ng iba pang mga paglilipat ng DNS.

Kabilang sa mga pagkukulang na maaaring mapunan sa pamamagitan ng hindi pagpapagana ng pagtitipon sa DoH / DoT o paglipat ng pag-encrypt sa ibang server, ang pangkalahatang komplikasyon ng codebase ay naka-highlight- Ang isang built-in na server ng HTTP at aklatan ng TLS ay idinagdag sa komposisyon, na maaaring potensyal na maglaman ng mga kahinaan at kumilos bilang karagdagang mga vector ng pag-atake. Gayundin, kapag ginamit ang DoH, tataas ang trapiko.

Dapat nating tandaan iyon Ang DNS-over-HTTPS ay maaaring maging kapaki-pakinabang upang maiwasan ang mga pagtulo ng impormasyon smagtrabaho sa hiniling na mga pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, labanan ang mga pag-atake ng MITM at trapiko ng trapiko ng DNS, kontrahin ang pagharang sa antas ng DNS o upang ayusin ang trabaho sa kaso ng imposibleng direktang pag-access sa mga DNS server.

Oo, sa isang normal na sitwasyon, direktang ipinadala ang mga kahilingan sa DNS sa mga DNS server na tinukoy sa pagsasaayos ng system, kung gayon, sa kaso ng DNS sa paglipas ng HTTPS, ang kahilingan upang matukoy ang IP address ng host naka-encapsulate ito sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan pinoproseso ng resolver ang mga kahilingan sa pamamagitan ng web API.

Ang "DNS over TLS" ay naiiba sa "DNS over HTTPS" sa pamamagitan ng paggamit ng standard na DNS protokol (karaniwang ginagamit ang network port 853) na nakabalot sa isang naka-encrypt na channel ng komunikasyon na nakaayos na ginagamit ang TLS protocol na may host validation sa pamamagitan ng mga sertipiko ng TLS / SSL na sertipikado ng isang sertipikasyon. awtoridad 

Sa wakas, nabanggit na Magagamit ang DoH para sa pagsubok sa bersyon 9.17.10 at ang suporta ng DoT ay nasa paligid mula noong 9.17.7, kasama ang isang beses na nagpapatatag, ang suporta para sa DoT at DoH ay lilipat sa 9.16 matatag na sangay.


Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.