Sau hai năm phát triển, ISC đã phát hành phiên bản ổn định đầu tiên của một nhánh chính mới của máy chủ DNS BIND 9.18 sẽ được hỗ trợ trong ba năm cho đến quý 2025 năm XNUMX như một phần của chu kỳ bảo trì kéo dài.
Hỗ trợ cho nhánh 9.11 sẽ kết thúc vào tháng 9.16 và nhánh 2023 vào giữa năm 9.19.0. Một nhánh thử nghiệm của BIND XNUMX đã được hình thành để phát triển chức năng cho phiên bản ổn định tiếp theo của BIND.
Sự ra mắt của BIND 9.18.0 nổi bật trong việc triển khai hỗ trợ các công nghệ DNS qua HTTPS (DoH, DNS qua HTTPS) và DNS qua TLS (DoT, DNS qua TLS), cũng như cơ chế XoT (XFR-over-TLS để truyền an toàn nội dung DNS qua các vùng TLS giữa các máy chủ (các vùng gửi và nhận được hỗ trợ qua XoT).
Với cấu hình phù hợp, một quy trình được đặt tên duy nhất hiện có thể phân phối không chỉ các truy vấn DNS truyền thống, mà còn các truy vấn được gửi bằng DNS qua HTTPS và DNS qua TLS. Hỗ trợ cho máy khách DNS qua TLS được tích hợp trong tiện ích đào, có thể được sử dụng để gửi truy vấn qua TLS khi cờ "+ tls" được chỉ định.
Entre las các tính năng của việc triển khai DoH trong BIND, Làm nổi bật khả năng chuyển các hoạt động mã hóa cho TLS sang một máy chủ khác, có thể cần thiết trong các điều kiện mà chứng chỉ TLS được lưu trữ trong một hệ thống khác (ví dụ: trong cơ sở hạ tầng có máy chủ web) và được phục vụ bởi nhân viên khác. Hỗ trợ cho DNS không được mã hóa qua HTTP được triển khai để đơn giản hóa việc gỡ lỗi và như một lớp để chuyển tiếp tới một máy chủ khác trên mạng nội bộ (để chuyển mã hóa sang một máy chủ riêng biệt). Trên máy chủ từ xa, nginx có thể được sử dụng để tạo lưu lượng truy cập TLS, tương tự như cách sắp xếp ràng buộc HTTPS cho các trang web.
Những điểm mới chính của DNS BIND 9.18
Trong phiên bản mới này được trình bày, chúng tôi có thể thấy rằng cài đặt đã được thêm vào tcp-nhận-đệm, tcp-gửi-đệm, udp-nhận-đệm và udp-gửi-đệm để đặt kích thước bộ đệm được sử dụng khi gửi và nhận yêu cầu qua TCP và UDP. Trên các máy chủ bận, tăng bộ đệm đến sẽ ngăn chặn việc giảm gói tin vào thời điểm lưu lượng truy cập tăng đột biến và giảm bớt chúng sẽ giúp loại bỏ tình trạng tắc nghẽn bộ nhớ với các yêu cầu cũ.
Một thay đổi khác nổi bật là đã thêm một danh mục nhật ký mới “rpz-passthru”, cho phép đăng ký riêng các hành động chuyển tiếp của RPZ (Vùng chính sách đáp ứng), ngoài việc đã thêm tùy chọn “nsdname-wait-recurse” vào phần chính sách phản hồi, khi được đặt thành "không", quy tắc RPZ NSDNAME chỉ được áp dụng nếu máy chủ định danh có thẩm quyền có mặt trong bộ nhớ cache cho yêu cầu; nếu không, quy tắc RPZ NSDNAME bị bỏ qua, nhưng thông tin được truy xuất trong nền và áp dụng cho các yêu cầu tiếp theo.
Để giải quyết các vấn đề với phân mảnh IP khi xử lý các thông báo DNS lớn, được xác định bởi sáng kiến Ngày gắn cờ DNS 2020, mã điều chỉnh kích thước của bộ đệm EDNS trong trường hợp một truy vấn không được trả lời, nó sẽ bị xóa khỏi trình phân giải. Kích thước bộ đệm EDNS hiện được đặt không đổi (edns-udp-size) cho tất cả các yêu cầu gửi đi.
bên cạnh đó loại bỏ hỗ trợ cho các tệp vùng ở định dạng "bản đồ" (bản đồ ở định dạng tệp chính). Người dùng định dạng này nên chuyển đổi các vùng sang định dạng thô bằng cách sử dụng tiện ích vùng biên dịch có tên.
Của những thay đổi nổi bật khác:
- Đối với các bản ghi có loại HTTPS và SVCB, việc xử lý phần "BỔ SUNG" được thực hiện.
- Đã thêm các loại chính sách cập nhật tùy chỉnh (krb5-subdomain-self-rhs và ms-subdomain-self-rhs) để hạn chế cập nhật cho các bản ghi SRV và PTR. Trong các khối chính sách cập nhật, khả năng đặt giới hạn về số lượng bản ghi, riêng biệt cho từng loại, cũng đã được thêm vào.
- Đã thêm thông tin về giao thức truyền tải (UDP, TCP, TLS, HTTPS) và tiền tố DNS64 vào đầu ra của tiện ích đào.
- Đã thêm hỗ trợ cho thư viện OpenSSL 3.0.
- Hệ thống xây dựng đã được thay đổi để sử dụng autoconf, automake và libtool.
- Đã xóa hỗ trợ cho bộ điều khiển DLZ (vùng có thể tải động) trước đó và được thay thế bằng mô-đun DLZ.
- Đã xóa hỗ trợ xây dựng và chạy cho nền tảng Windows. Nhánh mới nhất có thể được cài đặt trên Windows là BIND 9.16.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.