BIND DNS serverinin tərtibatçıları HTTPS üzərindən DNS (DoH, HTTPS üzərində DNS) və TLS üzərində DNS (DoT, TLS üzərində DNS) texnologiyaları üçün server dəstəyinin, həmçinin təhlükəsizliyə nail olmaq üçün XFR-over-TLS mexanizminin əlavə edildiyini elan etdilər. serverlər arasında DNS zonalarının məzmununun ötürülməsi. DoH 9.17 buraxılışında sınaq üçün əlçatandır və DoT dəstəyi 9.17.10 buraxılışından bəri mövcuddur. Stabilləşmədən sonra DoT və DoH dəstəyi stabil 9.17.7 filialına göndəriləcək.
DoH-də istifadə olunan HTTP/2 protokolunun həyata keçirilməsi montaj asılılıqları sırasına daxil olan nghttp2 kitabxanasının istifadəsinə əsaslanır (gələcəkdə kitabxananın isteğe bağlı asılılıqların sayına keçirilməsi planlaşdırılır). Həm şifrələnmiş (TLS), həm də şifrələnməmiş HTTP/2 əlaqələri dəstəklənir. Müvafiq parametrlərlə, bir adlandırılmış proses indi yalnız ənənəvi DNS sorğularına deyil, həm də DoH (DNS-over-HTTPS) və DoT (DNS-over-TLS) istifadə edərək göndərilən sorğulara xidmət edə bilər. Müştəri tərəfində HTTPS dəstəyi (qazma) hələ həyata keçirilməyib. XFR-over-TLS dəstəyi həm gələn, həm də gedən sorğular üçün mövcuddur.
DoH və DoT istifadə edərək sorğunun işlənməsi http və tls seçimlərini dinləmə direktivinə əlavə etməklə aktivləşdirilir. Şifrələnməmiş DNS-over-HTTP-ni dəstəkləmək üçün parametrlərdə “tls none” təyin etməlisiniz. Açarlar "tls" bölməsində müəyyən edilir. Defolt şəbəkə portları DoT üçün 853, DoH üçün 443 və DNS-over-HTTP üçün 80 tls-port, https-port və http-port parametrləri vasitəsilə ləğv edilə bilər. Məsələn: tls local-tls { açar faylı "/path/to/priv_key.pem"; sertifikat faylı "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; seçimlər { https-port 443; dinləmə portu 443 tls local-tls http myserver {hər hansı;}; }
BIND-də DoH tətbiqinin xüsusiyyətləri arasında inteqrasiya ümumi nəqliyyat kimi qeyd olunur ki, bu da yalnız həllediciyə müştəri sorğularını emal etmək üçün deyil, həm də serverlər arasında məlumat mübadiləsi zamanı, nüfuzlu DNS serveri tərəfindən zonaları köçürərkən və digər DNS nəqliyyatları tərəfindən dəstəklənən hər hansı sorğuları emal edərkən.
Başqa bir xüsusiyyət TLS sertifikatlarının başqa sistemdə (məsələn, veb serverləri olan infrastrukturda) saxlandığı və digər işçilər tərəfindən saxlanıldığı şəraitdə lazım ola bilən TLS üçün şifrələmə əməliyyatlarını başqa serverə köçürmək imkanıdır. Şifrələnməmiş DNS-over-HTTP dəstəyi sazlama işlərini sadələşdirmək və daxili şəbəkədə yönləndirmə üçün təbəqə kimi həyata keçirilir, bunun əsasında şifrələmə başqa serverdə təşkil edilə bilər. Uzaq bir serverdə nginx, HTTPS bağlanmasının veb saytlar üçün necə təşkil edildiyi kimi TLS trafikini yaratmaq üçün istifadə edilə bilər.
Xatırladaq ki, DNS-over-HTTPS provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumatların sızmasının qarşısını almaq, MITM hücumları və DNS trafikinin saxtalaşdırılması ilə mübarizə (məsələn, ictimai Wi-Fi-a qoşulduqda), qarşıdurma üçün faydalı ola bilər. DNS səviyyəsində bloklama (DNS-over-HTTPS, DPI səviyyəsində həyata keçirilən blokdan yan keçməklə VPN-i əvəz edə bilməz) və ya DNS serverlərinə birbaşa daxil olmaq mümkün olmadıqda (məsələn, proxy vasitəsilə işləyərkən) işin təşkili üçün. Normal vəziyyətdə, DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərilirsə, HTTPS-dən çox DNS vəziyyətində, host IP ünvanını müəyyən etmək üçün sorğu HTTPS trafikinə daxil edilir və HTTP serverinə göndərilir. həlledici sorğuları Web API vasitəsilə emal edir.
“TLS üzərində DNS” sertifikatlaşdırılmış TLS/SSL sertifikatları vasitəsilə host etibarlılığının yoxlanılması ilə TLS protokolundan istifadə edərək təşkil edilmiş şifrələnmiş rabitə kanalına bükülmüş standart DNS protokolunun (adətən şəbəkə portu 853 istifadə olunur) istifadəsinə görə “HTTPS üzərində DNS”dən fərqlənir. sertifikatlaşdırma orqanı tərəfindən. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
Mənbə: opennet.ru