Пасля 11 месяцаў распрацоўкі кансорцыум ISC першы стабільны рэліз новай значнай галіны DNS-сервера BIND 9.16. Падтрымка галіны 9.16 будзе ажыццяўляцца на працягу трох гадоў да 2 квартала 2023 года ў рамках пашыранага цыкла суправаджэння. Абнаўленні для мінулай LTS-галінкі 9.11 працягнуць выпускацца да снежня 2021 года. Падтрымка галіны 9.14 спыніцца праз тры месяцы.
Асноўныя :
- Дададзены KASP (Key and Signing Policy), спрошчаны спосаб кіравання ключамі і лічбавымі подпісамі DNSSEC, заснаваны на заданні правіл, вызначаных пры дапамозе дырэктывы "dnssec-policy". Дадзеная дырэктыва дазваляе наладзіць генерацыю для DNS-зон неабходных новых ключоў і аўтаматычнае ўжыванне ключоў ZSK і KSK.
- Істотна перапрацавана сеткавая падсістэма, якая пераведзена на механізм асінхроннай апрацоўкі запытаў, рэалізаваны на аснове бібліятэкі .
Перапрацоўка пакуль не прывяла да бачных змен, але ў далейшых выпусках яна дасць магчымасць рэалізаваць некаторыя істотныя аптымізацыі прадукцыйнасці і дадаць падтрымку новых пратаколаў, такіх як DNS over TLS. - Палепшаны працэс кіравання давернымі прывязкамі DNSSEC (Trust anchor, прывязаны да зоны адчынены ключ для праверкі сапраўднасці гэтай зоны). Замест налад trusted-keys і managed-keys, якія зараз абвешчаныя састарэлымі, прапанавана новая дырэктыва trust-anchors, якая дазваляе кіраваць абодвума тыпамі ключоў.
Пры выкарыстанні trust-anchors з ключавым словам initial-key, паводзіны дадзенай дырэктывы ідэнтычна managed-keys, г.зн. вызначае наладу давернай прывязкі ў адпаведнасці з RFC 5011. Пры выкарыстанні trust-anchors з ключавым словам static-key, паводзіны адпавядаюць дырэктыве trusted-keys, г.зн. вызначае пастаянны ключ, які не абнаўляецца аўтаматычна. Таксама ў trust-anchors прапануюцца яшчэ два ключавыя словы initial-ds і static-ds, якія дазваляюць выкарыстоўваць даверныя прывязкі ў фармаце (Delegation Signer) замест DNSKEY, які дае магчымасць налады прывязак для яшчэ не апублікаваных ключоў (у будучыні арганізацыя IANA плануе выкарыстоўваць фармат DS для ключоў каравых зон).
- Ва ўтыліты dig, mdig і delv дададзена опцыя "+yaml" для высновы ў фармаце YAML.
- Ва ўтыліту dig дададзеная опцыя "+[no]unexpected", якая дазваляе прыём адказаў ад хастоў, адрозных ад сервера, якому быў адпраўлены запыт.
- Ва ўтыліту dig дададзеная опцыя "+[no]expandaaaa", пры ўказанні якой IPv6-адрасы ў запісах AAAA паказваюцца ў поўным 128-бітным уяўленні, а не ў фармаце RFC 5952.
- Дададзена магчымасць пераключэння груп каналаў статыстыкі.
- Запісы DS і CDS зараз генеруюцца толькі на базе хэшаў SHA-256 (генерацыя на базе SHA-1 спынена).
- Для DNS Cookie (RFC 7873) па змаўчанні задзейнічаны алгарытм SipHash 2-4, а падтрымка HMAC-SHA спынена (AES пакінуты).
- Выснова каманд dnssec-signzone і dnssec-verify зараз накіроўваецца ў стандартны выходны струмень (STDOUT), а ў STDERR выводзяцца толькі звесткі пра памылкі і папярэджанні (пры ўказанні опцыі «-f» таксама выводзіцца падпісаная зона). Для прыглушэння вываду дададзена опцыя «-q».
- Перапрацаваны код валідацыі DNSSEC, які пазбаўлены дублявання кода з іншымі падсістэмамі.
- Для вываду статыстыкі ў фармаце JSON зараз можа выкарыстоўвацца толькі бібліятэка JSON-C. Опцыя configure "-with-libjson" пераназваная ў "-with-json-c".
- У скрыпце configure больш не выстаўляецца па змаўчанні параметр "-sysconfdir" у /etc, а "localstatedir" у /var, калі не паказаны параметр "prefix". Па змаўчанні зараз выкарыстоўваюцца шляхі $prefix/etc і $prefix/var, ужывальныя ў Autoconf.
- Выдалены код з рэалізацыяй сэрвісу DLV (Domain Look-aside Verification, опцыя dnssec-lookaside), які быў аб'яўлены састарэлым у BIND 9.12, а звязаны з ім апрацоўшчык dlv.isc.org быў выключаны ў 2017 годзе. Выдаленне DLV дазволіла пазбавіць код BIND ад лішніх ускладненняў.
Крыніца: opennet.ru