BIND DNS服务器开发人员揭幕 几天前 加入实验分支9.17, 实施 支持 技术服务器 通过HTTPS的DNS (DoH,基于HTTPS的DNS)和TLS上的DNS (DoT,基于TLS的DNS)以及XFR。
DoH中使用的HTTP / 2协议的实现 基于nghttp2库的使用, 它包含在构建依赖项中(将来计划将库转移到可选依赖项中)。
通过适当的配置,单个命名进程现在不仅可以服务于传统的DNS请求,而且还可以服务于使用DoH(HTTPS上的DNS)和DoT(TLS上的DNS)发送的请求。
HTTPS客户端支持(摘要)尚未实现, 而XFR-over-TLS支持可用于传入和传出请求。
使用DoH和DoT处理请求 通过将http和tls选项添加到listen-on指令来启用它。 要支持未经加密的HTTP over DNS,必须在配置中指定“ tls none”。 密钥在“ tls”部分中定义。 可以通过tls-port,https-port和http-port参数覆盖用于DoT的标准网络端口853,用于DoH的标准端口443和用于HTTP上的DNS的标准网络端口80。
功能之中 BIND中DoH的实施情况, 请注意,可以将TLS的加密操作转移到另一台服务器, 在TLS证书的存储在另一个系统上(例如,在具有Web服务器的基础结构中)并由其他人员参与的情况下,这可能是必要的。
支持 DNS over HTTP的未加密实现简化了调试 作为在内部网络上转发的层,基于此层可以在另一台服务器上安排加密。 在远程服务器上,可以使用nginx生成TLS流量,这类似于为站点组织HTTPS绑定的方式。
另一个功能是将DoH集成为一般运输工具, 它不仅可以用于处理对解析器的客户端请求,还可以用于在服务器之间交换数据,使用权威DNS服务器传输区域以及处理其他DNS传输支持的任何请求时。
在通过使用DoH / DoT禁用编译或将加密移至另一台服务器可以弥补的缺点中, 突出了代码库的一般复杂性-组合中添加了内置的HTTP服务器和TLS库,它们可能包含漏洞并充当其他攻击媒介。 另外,使用DoH时,流量会增加。
你必须记住这一点 通过HTTPS的DNS可以避免信息泄漏通过提供商的DNS服务器处理请求的主机名,抵抗MITM攻击和欺骗DNS流量,抵消DNS级别的阻止或在无法直接访问DNS服务器的情况下组织工作。
是的, 在正常情况下,DNS请求是直接发送的 到系统配置中定义的DNS服务器, 通过HTTPS的DNS, 确定主机IP地址的请求 它封装在HTTPS流量中,并发送到HTTP服务器, 解析器通过Web API处理请求。
“基于TLS的DNS”与“基于HTTPS的DNS”的区别在于,它使用标准TLS协议(通常使用网络端口853),该协议封装在使用TLS协议组织的加密通信通道中,并通过通过证书的TLS证书/ SSL进行主机验证。 权威。
最后,提到 DoH可在版本9.17.10中进行测试 并且DoT的支持自9.17.7开始,并且一旦稳定下来,对DoT和DoH的支持将移至9.16稳定分支。