BIND DNS服務器開發人員揭幕 幾天前 加入實驗分支9.17, 實施 支持 技術服務器 通過HTTPS的DNS (DoH,基於HTTPS的DNS)和TLS上的DNS (DoT,基於TLS的DNS)以及XFR。
DoH中使用的HTTP / 2協議的實現 基於nghttp2庫的使用, 它包含在構建依賴項中(將來計劃將庫轉移到可選依賴項中)。
通過適當的配置,單個命名進程現在不僅可以服務於傳統的DNS請求,而且還可以服務於使用DoH(HTTPS上的DNS)和DoT(TLS上的DNS)發送的請求。
HTTPS客戶端支持(摘要)尚未實現, 而XFR-over-TLS支持可用於傳入和傳出請求。
使用DoH和DoT處理請求 通過將http和tls選項添加到listen-on指令來啟用它。 要支持未經加密的HTTP over DNS,必須在配置中指定“ tls none”。 密鑰在“ tls”部分中定義。 可以通過tls-port,https-port和http-port參數覆蓋用於DoT的標準網絡端口853,用於DoH的標準端口443和用於HTTP上的DNS的標準網絡端口80。
功能之中 BIND中DoH的實施情況, 請注意,可以將TLS的加密操作轉移到另一台服務器, 在TLS證書的存儲在另一個系統上(例如,在具有Web服務器的基礎結構中)並由其他人員參與的情況下,這可能是必需的。
支持 DNS over HTTP的未加密實現簡化了調試 並作為內部網絡上轉發的層,基於此層可以在另一台服務器上安排加密。 在遠程服務器上,可以使用nginx生成TLS流量,這類似於為站點組織HTTPS綁定的方式。
另一個功能是將DoH集成為一般運輸工具, 它們不僅可以用於處理對解析器的客戶端請求,還可以用於在服務器之間交換數據時,使用權威DNS服務器傳輸區域時以及處理其他DNS傳輸支持的任何請求時。
在通過使用DoH / DoT禁用編譯或將加密移至另一台服務器可以彌補的缺點中, 突出了代碼庫的一般複雜性-組合中添加了內置的HTTP服務器和TLS庫,它們可能包含漏洞並充當其他攻擊媒介。 另外,使用DoH時,流量會增加。
你必須記住這一點 通過HTTPS的DNS可以避免信息洩漏通過提供商的DNS服務器處理請求的主機名,抵抗MITM攻擊和欺騙DNS流量,抵消DNS級別的阻止或在無法直接訪問DNS服務器的情況下組織工作。
是 在正常情況下,DNS請求是直接發送的 到系統配置中定義的DNS服務器, 通過HTTPS的DNS, 確定主機IP地址的請求 它封裝在HTTPS流量中,並發送到HTTP服務器, 解析器通過Web API處理請求。
“基於TLS的DNS”與“基於HTTPS的DNS”的區別在於,它使用標準TLS協議(通常使用網絡端口853),該協議包裝在使用TLS協議組織的加密通信通道中,並通過通過證書的TLS證書/ SSL進行主機驗證。 權威。
最後,提到 DoH可在版本9.17.10中進行測試 並且DoT的支持自9.17.7開始,並且一旦穩定下來,對DoT和DoH的支持將移至9.16穩定分支。