بعد 11 شهرًا من التطوير، تم إنشاء اتحاد ISC الإصدار المستقر الأول لفرع مهم جديد لخادم BIND 9.16 DNS. سيتم تقديم الدعم للفرع 9.16 لمدة ثلاث سنوات حتى الربع الثاني من عام 2 كجزء من دورة دعم ممتدة. سيستمر إصدار تحديثات فرع LTS السابق 2023 حتى ديسمبر 9.11. سينتهي دعم الفرع 2021 خلال ثلاثة أشهر.
رئيسي :
- تمت إضافة KASP (سياسة المفتاح والتوقيع)، وهي طريقة مبسطة لإدارة مفاتيح DNSSEC والتوقيعات الرقمية، بناءً على إعداد القواعد المحددة باستخدام توجيه "سياسة dnssec". يسمح لك هذا التوجيه بتكوين إنشاء المفاتيح الجديدة الضرورية لمناطق DNS والتطبيق التلقائي لمفاتيح ZSK وKSK.
- تمت إعادة تصميم النظام الفرعي للشبكة بشكل كبير وتحويله إلى آلية معالجة الطلبات غير المتزامنة التي يتم تنفيذها بناءً على المكتبة .
لم تسفر إعادة العمل بعد عن أي تغييرات مرئية، ولكنها ستوفر في الإصدارات المستقبلية الفرصة لتنفيذ بعض تحسينات الأداء المهمة وإضافة دعم للبروتوكولات الجديدة مثل DNS عبر TLS. - عملية محسنة لإدارة مرساة ثقة DNSSEC (مرساة الثقة، مفتاح عام مرتبط بمنطقة ما للتحقق من صحة هذه المنطقة). بدلاً من إعدادات المفاتيح الموثوقة والمفاتيح المُدارة، التي تم إهمالها الآن، تم اقتراح توجيه جديد لمثبتات الثقة يسمح لك بإدارة كلا النوعين من المفاتيح.
عند استخدام نقاط الثقة مع الكلمة الأساسية للمفتاح الأولي، يكون سلوك هذا التوجيه مطابقًا للمفاتيح المُدارة، أي. يحدد إعداد مرساة الثقة وفقًا لـ RFC 5011. عند استخدام مراسي الثقة مع الكلمة الأساسية للمفتاح الثابت، يتوافق السلوك مع توجيه المفاتيح الموثوقة، أي. يحدد مفتاحًا ثابتًا لا يتم تحديثه تلقائيًا. توفر أدوات تثبيت الثقة أيضًا كلمتين رئيسيتين إضافيتين، الأولي-ds والثابت-ds، مما يسمح لك باستخدام أدوات ربط الثقة في التنسيق (موقع التفويض) بدلاً من DNSKEY، مما يجعل من الممكن تكوين الارتباطات للمفاتيح التي لم يتم نشرها بعد (تخطط منظمة IANA لاستخدام تنسيق DS لمفاتيح المنطقة الأساسية في المستقبل).
- تمت إضافة خيار "+yaml" إلى الأدوات المساعدة dig وmdig وdelv للإخراج بتنسيق YAML.
- تمت إضافة خيار "+[no]unexpected" إلى أداة الحفر المساعدة، مما يسمح باستقبال الاستجابات من مضيفين غير الخادم الذي تم إرسال الطلب إليه.
- تمت إضافة خيار "+[no]expandaaaa" لأداة الحفر، مما يؤدي إلى ظهور عناوين IPv6 في سجلات AAAA بتمثيل كامل 128 بت، بدلاً من تنسيق RFC 5952.
- تمت إضافة القدرة على تبديل مجموعات قنوات الإحصائيات.
- يتم الآن إنشاء سجلات DS وCDS فقط استنادًا إلى تجزئة SHA-256 (تم إيقاف الإنشاء المستند إلى SHA-1).
- بالنسبة لملف تعريف ارتباط DNS (RFC 7873)، فإن الخوارزمية الافتراضية هي SipHash 2-4، وتم إيقاف دعم HMAC-SHA (يتم الاحتفاظ بـ AES).
- يتم الآن إرسال مخرجات أوامر dnssec-signzone وdnssec-verify إلى الإخراج القياسي (STDOUT)، وتتم طباعة الأخطاء والتحذيرات فقط إلى STDERR (يقوم الخيار -f أيضًا بطباعة المنطقة الموقعة). تمت إضافة الخيار "-q" لكتم صوت الإخراج.
- تمت إعادة صياغة رمز التحقق من DNSSEC للتخلص من تكرار الكود مع الأنظمة الفرعية الأخرى.
- لعرض الإحصائيات بتنسيق JSON، يمكن الآن استخدام مكتبة JSON-C فقط. تمت إعادة تسمية خيار التكوين "--with-libjson" إلى "--with-json-c".
- لم يعد البرنامج النصي للتكوين افتراضيًا على "--sysconfdir" في /etc و"--localstatedir" في /var ما لم يتم تحديد "--prefix". المسارات الافتراضية هي الآن $prefix/etc و$prefix/var، كما هو مستخدم في Autoconf.
- تمت إزالة التعليمات البرمجية التي تنفذ خدمة DLV (التحقق من المجال، خيار dnssec-lookaside)، والتي تم إهمالها في BIND 9.12، وتم تعطيل معالج dlv.isc.org المرتبط في عام 2017. أدت إزالة DLVs إلى تحرير كود BIND من التعقيدات غير الضرورية.
المصدر: opennet.ru