След 11 месеца разработка, консорциумът ISC Първата стабилна версия на нов значим клон на DNS сървъра BIND 9.16. Поддръжката за клон 9.16 ще бъде предоставена за три години до второто тримесечие на 2 г. като част от разширен цикъл на поддръжка. Актуализациите за предишния LTS клон 2023 ще продължат да се пускат до декември 9.11 г. Поддръжката за клон 2021 ще приключи след три месеца.
Основната :
- Добавен е KASP (Политика за ключове и подписване), опростен начин за управление на DNSSEC ключове и цифрови подписи, въз основа на правила за настройка, дефинирани с помощта на директивата „dnssec-policy“. Тази директива ви позволява да конфигурирате генерирането на необходимите нови ключове за DNS зони и автоматичното прилагане на ZSK и KSK ключове.
- Мрежовата подсистема е значително преработена и превключена към асинхронен механизъм за обработка на заявки, внедрен въз основа на библиотеката .
Преработката все още не е довела до видими промени, но в бъдещи версии ще предостави възможност за внедряване на някои значителни оптимизации на производителността и добавяне на поддръжка за нови протоколи като DNS през TLS. - Подобрен процес за управление на DNSSEC доверителни котви (Доверителна котва, публичен ключ, свързан със зона за проверка на автентичността на тази зона). Вместо настройките за доверени и управлявани ключове, които вече са отхвърлени, е предложена нова директива за закрепване на доверие, която ви позволява да управлявате и двата типа ключове.
Когато използвате доверителни котви с ключовата дума initial-key, поведението на тази директива е идентично с управляваните ключове, т.е. дефинира настройката за надеждна котва в съответствие с RFC 5011. Когато използвате надеждни котви с ключовата дума static-key, поведението съответства на директивата trusted-keys, т.е. дефинира постоянен ключ, който не се актуализира автоматично. Trust-anchors предлага още две ключови думи, initial-ds и static-ds, които ви позволяват да използвате доверителни котви във формата (Delegation Signer) вместо DNSKEY, което прави възможно конфигурирането на обвързвания за ключове, които все още не са публикувани (организацията IANA планира да използва DS формата за ключове на основна зона в бъдеще).
- Опцията „+yaml“ е добавена към помощните програми dig, mdig и delv за изход във формат YAML.
- Опцията „+[без]неочаквано” е добавена към помощната програма за копаене, позволяваща получаването на отговори от хостове, различни от сървъра, до който е изпратена заявката.
- Добавена е опция „+[no]expandaaaa“ за помощна програма за копаене, която кара IPv6 адресите в AAAA записи да се показват в пълно 128-битово представяне, а не във формат RFC 5952.
- Добавена е възможност за превключване на групи от статистически канали.
- DS и CDS записите вече се генерират само въз основа на хешове SHA-256 (генерирането въз основа на SHA-1 е преустановено).
- За DNS Cookie (RFC 7873) алгоритъмът по подразбиране е SipHash 2-4 и поддръжката за HMAC-SHA е преустановена (AES се запазва).
- Резултатът от командите dnssec-signzone и dnssec-verify вече се изпраща към стандартен изход (STDOUT) и само грешки и предупреждения се отпечатват в STDERR (опцията -f също отпечатва подписаната зона). Добавена е опцията "-q" за заглушаване на изхода.
- Кодът за валидиране на DNSSEC е преработен, за да се елиминира дублирането на код с други подсистеми.
- За показване на статистика във формат JSON вече може да се използва само библиотеката JSON-C. Опцията за конфигуриране „--with-libjson“ е преименувана на „--with-json-c“.
- Скриптът за конфигуриране вече не е по подразбиране "--sysconfdir" в /etc и "--localstatedir" в /var, освен ако не е посочен "--prefix". Пътищата по подразбиране вече са $prefix/etc и $prefix/var, както се използват в Autoconf.
- Премахнат код, внедряващ услугата DLV (Domain Look-aside Verification, dnssec-lookaside option), която беше отхвърлена в BIND 9.12, а свързаният манипулатор dlv.isc.org беше деактивиран през 2017 г. Премахването на DLV освобождава BIND кода от ненужни усложнения.
Източник: opennet.ru