11 aylıq inkişafdan sonra ISC konsorsiumu BIND 9.16 DNS serverinin yeni əhəmiyyətli filialının ilk stabil buraxılışı. 9.16 filialına dəstək, genişləndirilmiş dəstək dövrünün bir hissəsi olaraq 2-cü ilin 2023-ci rübünə qədər üç il müddətində təmin ediləcək. Əvvəlki LTS filialı 9.11 üçün yeniləmələr 2021-ci ilin dekabr ayına qədər buraxılmağa davam edəcək. 9.14 filialına dəstək üç aydan sonra başa çatacaq.
Əsas :
- “dnssec-policy” direktivindən istifadə etməklə müəyyən edilmiş qaydalar əsasında DNSSEC açarlarını və rəqəmsal imzaları idarə etmək üçün sadələşdirilmiş üsul olan KASP (Açar və İmzalama Siyasəti) əlavə edildi. Bu direktiv DNS zonaları üçün lazım olan yeni açarların yaradılmasını və ZSK və KSK açarlarının avtomatik tətbiqini konfiqurasiya etməyə imkan verir.
- Şəbəkə alt sistemi əhəmiyyətli dərəcədə yenidən işlənmiş və kitabxana əsasında həyata keçirilən asinxron sorğuların işlənməsi mexanizminə keçirilmişdir. .
Yenidən işləmə hələ heç bir görünən dəyişikliklə nəticələnməyib, lakin gələcək buraxılışlarda bəzi əhəmiyyətli performans optimallaşdırmalarını həyata keçirmək və TLS üzərindən DNS kimi yeni protokollar üçün dəstək əlavə etmək imkanı verəcək. - DNSSEC etibar ankerlərini idarə etmək üçün təkmilləşdirilmiş proses (Trust anchor, bu zonanın həqiqiliyini yoxlamaq üçün zonaya bağlanmış açıq açar). İndi köhnəlmiş etibarlı açarlar və idarə olunan açarlar parametrləri əvəzinə, hər iki növ açarı idarə etməyə imkan verən yeni etibar ankerləri direktivi təklif edilmişdir.
Başlanğıc-açar açar sözü ilə etibar lövbərlərindən istifadə edərkən, bu direktivin davranışı idarə olunan açarlarla eynidir, yəni. RFC 5011-ə uyğun olaraq etibar anker parametrini müəyyən edir. Static-key açar sözü ilə etibar ankerlərindən istifadə edərkən davranış etibarlı açarlar direktivinə uyğundur, yəni. avtomatik olaraq yenilənməyən davamlı açarı müəyyən edir. Trust-anchors həmçinin daha iki açar söz təklif edir, ilkin-ds və statik-ds, bu formatda etibar ankerlərindən istifadə etməyə imkan verir. DNSKEY əvəzinə (Nümayəndəlik İmzalayanı) hələ dərc olunmamış açarlar üçün bağlamaları konfiqurasiya etməyə imkan verir (IANA təşkilatı gələcəkdə əsas zona açarları üçün DS formatından istifadə etməyi planlaşdırır).
- YAML formatında çıxış üçün dig, mdig və delv utilitlərinə “+yaml” seçimi əlavə edilmişdir.
- “+[no]gözlənilməz” seçimi qazma proqramına əlavə edildi və sorğunun göndərildiyi serverdən başqa hostlardan cavabların qəbuluna imkan verdi.
- AAAA qeydlərindəki IPv6 ünvanlarının RFC 128 formatında deyil, tam 5952 bit təqdimatda göstərilməsinə səbəb olan utiliti qazmaq üçün "+[no]expandaaaa" seçimi əlavə edildi.
- Statistik kanalların qruplarını dəyişmək imkanı əlavə edildi.
- DS və CDS qeydləri indi yalnız SHA-256 heşləri əsasında yaradılır (SHA-1-ə əsaslanan nəsil dayandırılıb).
- DNS Cookie (RFC 7873) üçün defolt alqoritm SipHash 2-4-dür və HMAC-SHA dəstəyi dayandırılıb (AES saxlanılır).
- Dnssec-signzone və dnssec-verify əmrlərinin çıxışı indi standart çıxışa (STDOUT) göndərilir və yalnız səhvlər və xəbərdarlıqlar STDERR-də çap olunur (-f seçimi də imzalanmış zonanı çap edir). Çıxışı susdurmaq üçün "-q" seçimi əlavə edilmişdir.
- DNSSEC doğrulama kodu digər alt sistemlərlə kodun təkrarlanmasının aradan qaldırılması üçün yenidən işlənmişdir.
- Statistikanı JSON formatında göstərmək üçün indi yalnız JSON-C kitabxanasından istifadə etmək olar. "--with-libjson" konfiqurasiya seçimi "--with-json-c" olaraq dəyişdirilib.
- Konfiqurasiya skripti artıq "--prefiks" göstərilmədiyi təqdirdə /etc-də "--sysconfdir" və /var-da "--localstatedir"-ə defolt deyil. Defolt yollar indi Autoconf-da istifadə edildiyi kimi $prefiks/etc və $prefiks/vardır.
- BIND 9.12-də köhnəlmiş DLV (Domain Look-side Verification, dnssec-lookaside seçimi) xidmətini həyata keçirən kod silindi və əlaqəli dlv.isc.org işləyicisi 2017-ci ildə deaktiv edildi. DLV-lərin çıxarılması BIND kodunu lazımsız fəsadlardan azad etdi.
Mənbə: opennet.ru