Els desenvolupadors del servidor BIND DNS van anunciar l'addició del suport del servidor per a les tecnologies DNS sobre HTTPS (DoH, DNS sobre HTTPS) i DNS sobre TLS (DoT, DNS sobre TLS), així com el mecanisme XFR-over-TLS per a la seguretat. transferir el contingut de les zones DNS entre servidors. DoH està disponible per a proves a la versió 9.17, i el suport DoT està present des de la versió 9.17.10. Després de l'estabilització, el suport DoT i DoH es retroportarà a la branca estable 9.17.7.
La implementació del protocol HTTP/2 utilitzat a DoH es basa en l'ús de la biblioteca nghttp2, que s'inclou entre les dependències del muntatge (en el futur, es preveu que la biblioteca es transfereixi al nombre de dependències opcionals). S'admeten connexions HTTP/2 xifrades (TLS) i no xifrades. Amb la configuració adequada, un sol procés amb nom ara pot servir no només consultes DNS tradicionals, sinó també consultes enviades mitjançant DoH (DNS-over-HTTPS) i DoT (DNS-over-TLS). El suport HTTPS al costat del client (excavació) encara no s'ha implementat. El suport XFR-over-TLS està disponible per a sol·licituds entrants i sortints.
El processament de sol·licituds mitjançant DoH i DoT s'habilita afegint les opcions http i tls a la directiva listen-on. Per donar suport a DNS sobre HTTP no xifrat, hauríeu d'especificar "tls none" a la configuració. Les claus es defineixen a la secció "tls". Els ports de xarxa predeterminats 853 per a DoT, 443 per a DoH i 80 per a DNS sobre HTTP es poden anul·lar mitjançant els paràmetres tls-port, https-port i http-port. Per exemple: tls local-tls { key-file "/path/to/priv_key.pem"; fitxer-cert "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opcions { https-port 443; port d'escolta 443 tls local-tls http el meu servidor {qualsevol;}; }
Entre les característiques de la implementació de DoH a BIND, la integració es nota com un transport general, que es pot utilitzar no només per processar les sol·licituds dels clients al resolutor, sinó també quan s'intercanvien dades entre servidors, quan es transfereixen zones per un servidor DNS autoritzat i en processar qualsevol sol·licitud compatible amb altres transports DNS.
Una altra característica és la possibilitat de moure les operacions de xifratge per a TLS a un altre servidor, cosa que pot ser necessària en condicions en què els certificats TLS s'emmagatzemen en un altre sistema (per exemple, en una infraestructura amb servidors web) i es mantenen per altre personal. El suport per a DNS sobre HTTP no xifrat s'implementa per simplificar la depuració i com a capa de reenviament a la xarxa interna, sobre la base de la qual es pot organitzar el xifratge en un altre servidor. En un servidor remot, nginx es pot utilitzar per generar trànsit TLS, de manera similar a com s'organitza l'enllaç HTTPS per als llocs web.
Recordem que DNS-over-HTTPS pot ser útil per prevenir filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i la falsificació del trànsit DNS (per exemple, quan es connecta a una xarxa Wi-Fi pública), contrarestar bloqueig a nivell de DNS (DNS-over-HTTPS no pot substituir una VPN en eludir el bloqueig implementat a nivell de DPI) o per organitzar el treball quan és impossible accedir directament als servidors DNS (per exemple, quan es treballa mitjançant un servidor intermediari). Si en una situació normal les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, en el cas de DNS-over-HTTPS, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa les sol·licituds mitjançant l'API web.
"DNS sobre TLS" difereix de "DNS sobre HTTPS" en l'ús del protocol DNS estàndard (normalment s'utilitza el port de xarxa 853), embolicat en un canal de comunicació xifrat organitzat mitjançant el protocol TLS amb comprovació de validesa de l'amfitrió mitjançant certificats TLS/SSL certificats. per una autoritat de certificació. L'estàndard DNSSEC existent només utilitza el xifratge per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds.
Font: opennet.ru