Розроблено розробники DNS-сервера BIND кілька днів тому включення до експериментальної галузі 9.17, реалізація підтримка сервер для технологій DNS через HTTPS (DoH, DNS через HTTPS) і DNS через TLS (DoT, DNS через TLS), а також XFR.
Реалізація протоколу HTTP / 2, що використовується в DoH він заснований на використанні бібліотеки nghttp2, що входить до залежностей побудови (у майбутньому планується передати бібліотеку до додаткових залежностей).
За належної конфігурації один іменований процес тепер може обслуговувати не лише традиційні запити DNS, але й запити, надіслані за допомогою DoH (DNS через HTTPS) та DoT (DNS через TLS).
Підтримка HTTPS на стороні клієнта (dig) ще не реалізована, тоді як підтримка XFR-over-TLS доступна для вхідних та вихідних запитів.
Обробка запитів за допомогою DoH та DoT це вмикається додаванням параметрів http і tls до директиви прослуховування. Щоб підтримувати DNS через HTTP незашифрованим, у конфігурації потрібно вказати "tls none". Ключі визначаються в розділі "tls". Стандартні мережеві порти 853 для DoT, 443 для DoH та 80 для DNS через HTTP можуть бути замінені через параметри tls-port, https-port і http-port.
Серед особливостей впровадження DoH в BIND, підкреслюється, що можна перенести операції шифрування для TLS на інший сервер, Це може знадобитися в умовах, коли зберігання сертифікатів TLS здійснюється в іншій системі (наприклад, в інфраструктурі з веб-серверами) і в ньому бере участь інший персонал.
Підтримка DNS через HTTP незашифрований реалізований для спрощення налагодження і як рівень для переадресації у внутрішній мережі, на основі якого шифрування може бути організовано на іншому сервері. На віддаленому сервері nginx можна використовувати для генерування трафіку TLS за аналогією із способом організації прив'язки HTTPS для сайтів.
Ще однією особливістю є інтеграція DoH як загального транспорту, що може використовуватися не тільки для обробки клієнтських запитів до засобу вирішення проблем, але також при обміні даними між серверами, передачі зон за допомогою авторитетного DNS-сервера та обробці будь-яких запитів, що підтримуються іншими DNS-транспортами.
Серед недоліків, які можна усунути відключенням компіляції з DoH / DoT або переміщенням шифрування на інший сервер, виділено загальне ускладнення кодової бази- До складу додано вбудований сервер HTTP та бібліотеку TLS, які потенційно можуть містити вразливості та діяти як додаткові вектори атак. Крім того, коли використовується DoH, трафік збільшується.
Ми повинні це пам’ятати DNS-over-HTTPS може бути корисним, щоб уникнути витоку інформації sпрацювати над запрошеними іменами хостів через DNS-сервери провайдерів, боротися з атаками MITM та підробляти трафік DNS, протидіяти блокуванню рівня DNS або організовувати роботу у випадку неможливості прямого доступу до DNS-серверів.
Так у звичайній ситуації запити DNS надсилаються безпосередньо на DNS-сервери, визначені в конфігурації системи, то, у випадку з DNS через HTTPS, запит на визначення IP-адреси хоста він інкапсульований в HTTPS-трафік і відправлений на HTTP-сервер, в якому вирішувач обробляє запити через веб-API.
"DNS через TLS" відрізняється від "DNS через HTTPS" за допомогою стандартного протоколу DNS (зазвичай використовується мережевий порт 853), загорнутий у зашифрований канал зв'язку, організований за допомогою протоколу TLS з перевіркою хосту через сертифікати TLS / SSL, сертифіковані сертифікацією. авторитет.
Нарешті, згадується, що DoH доступний для тестування у версії 9.17.10 і підтримка DoT існує приблизно з 9.17.7, плюс після стабілізації підтримка DoT та DoH перейде до стабільної гілки 9.16.