Разработчиците на BIND DNS сървъра обявиха добавянето на сървърна поддръжка за технологиите DNS през HTTPS (DoH, DNS през HTTPS) и DNS през TLS (DoT, DNS през TLS), както и механизма XFR-over-TLS за сигурна прехвърляне на съдържанието на DNS зони между сървъри. DoH е наличен за тестване във версия 9.17, а DoT поддръжката присъства от версия 9.17.10. След стабилизиране поддръжката на DoT и DoH ще бъде пренесена към стабилния клон 9.17.7.
Изпълнението на протокола HTTP/2, използван в DoH, се основава на използването на библиотеката nghttp2, която е включена сред зависимостите на сглобяването (в бъдеще се планира библиотеката да бъде прехвърлена към броя на незадължителните зависимости). Поддържат се както криптирани (TLS), така и некриптирани HTTP/2 връзки. С подходящите настройки един наименуван процес вече може да обслужва не само традиционни DNS заявки, но и заявки, изпратени чрез DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддръжката на HTTPS от страна на клиента (dig) все още не е внедрена. Поддръжката на XFR-over-TLS е достъпна както за входящи, така и за изходящи заявки.
Обработката на заявка с помощта на DoH и DoT се активира чрез добавяне на опциите http и tls към директивата за слушане. За да поддържате некриптиран DNS-over-HTTP, трябва да посочите „tls none“ в настройките. Ключовете са дефинирани в раздела "tls". Мрежовите портове по подразбиране 853 за DoT, 443 за DoH и 80 за DNS-over-HTTP могат да бъдат заменени чрез параметрите tls-port, https-port и http-port. Например: tls local-tls { key-file "/path/to/priv_key.pem"; сертификат-файл "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; опции { https-порт 443; порт за слушане 443 tls local-tls http myserver {any;}; }
Сред характеристиките на внедряването на DoH в BIND, интеграцията се отбелязва като общ транспорт, който може да се използва не само за обработка на клиентски заявки към резолвера, но и при обмен на данни между сървъри, при прехвърляне на зони от авторитетен DNS сървър и когато обработвате всякакви заявки, поддържани от други DNS транспорти.
Друга функция е възможността за преместване на операции за криптиране за TLS към друг сървър, което може да е необходимо в условия, при които TLS сертификатите се съхраняват в друга система (например в инфраструктура с уеб сървъри) и се поддържат от друг персонал. Поддръжката за некриптиран DNS-over-HTTP е внедрена за опростяване на отстраняването на грешки и като слой за препращане във вътрешната мрежа, на базата на който може да се организира криптиране на друг сървър. На отдалечен сървър nginx може да се използва за генериране на TLS трафик, подобно на начина, по който HTTPS свързването е организирано за уебсайтове.
Нека припомним, че DNS-over-HTTPS може да бъде полезен за предотвратяване на изтичане на информация за исканите имена на хостове през DNS сървърите на доставчиците, борба с MITM атаки и подправяне на DNS трафик (например при свързване към обществен Wi-Fi), противодействие блокиране на ниво DNS (DNS-over-HTTPS не може да замени VPN при заобикаляне на блокиране, реализирано на ниво DPI) или за организиране на работа, когато е невъзможно да се осъществи директен достъп до DNS сървъри (например при работа през прокси). Ако в нормална ситуация DNS заявките се изпращат директно до DNS сървъри, дефинирани в системната конфигурация, тогава в случай на DNS-over-HTTPS заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафик и се изпраща към HTTP сървъра, където резолверът обработва заявки чрез уеб API.
„DNS през TLS“ се различава от „DNS през HTTPS“ по използването на стандартния DNS протокол (обикновено се използва мрежов порт 853), обвит в криптиран комуникационен канал, организиран с помощта на протокола TLS с проверка на валидността на хоста чрез сертифицирани TLS/SSL сертификати от сертифициращ орган. Съществуващият стандарт DNSSEC използва криптиране само за удостоверяване на клиента и сървъра, но не защитава трафика от прихващане и не гарантира поверителността на заявките.
Източник: opennet.ru