Després d'11 mesos de desenvolupament, el consorci ISC La primera versió estable d'una nova branca important del servidor DNS BIND 9.16. El suport a la branca 9.16 es prestarà durant tres anys fins al segon trimestre de 2 com a part d'un cicle de suport ampliat. Les actualitzacions de la branca LTS anterior 2023 es continuaran publicant fins al desembre de 9.11. El suport per a la branca 2021 finalitzarà en tres mesos.
El principal :
- S'ha afegit KASP (Key and Signing Policy), una forma simplificada de gestionar les claus DNSSEC i les signatures digitals, basada en la configuració de regles definides mitjançant la directiva "dnssec-policy". Aquesta directiva permet configurar la generació de les noves claus necessàries per a zones DNS i l'aplicació automàtica de claus ZSK i KSK.
- El subsistema de xarxa s'ha redissenyat significativament i s'ha canviat a un mecanisme de processament de sol·licituds asíncron implementat basat en la biblioteca .
La reelaboració encara no ha donat lloc a cap canvi visible, però en futures versions oferirà l'oportunitat d'implementar algunes optimitzacions de rendiment importants i afegir suport per a nous protocols com ara DNS sobre TLS. - S'ha millorat el procés de gestió d'ancoratges de confiança DNSSEC (àncora de confiança, una clau pública lligada a una zona per verificar l'autenticitat d'aquesta zona). En lloc de la configuració de claus de confiança i claus gestionades, que ara estan obsoletes, s'ha proposat una nova directiva d'ancoratges de confiança que us permet gestionar ambdós tipus de claus.
Quan s'utilitzen ancoratges de confiança amb la paraula clau de clau inicial, el comportament d'aquesta directiva és idèntic al de les claus gestionades, és a dir. defineix la configuració d'ancoratge de confiança d'acord amb la RFC 5011. Quan s'utilitzen ancoratges de confiança amb la paraula clau static-key, el comportament correspon a la directiva trusted-keys, és a dir. defineix una clau persistent que no s'actualitza automàticament. Trust-anchors també ofereix dues paraules clau més, initial-ds i static-ds, que us permeten utilitzar àncores de confiança en el format (Delegation Signer) en lloc de DNSKEY, que permet configurar enllaços per a claus que encara no s'han publicat (l'organització IANA té previst utilitzar el format DS per a les claus de la zona central en el futur).
- S'ha afegit l'opció "+yaml" a les utilitats dig, mdig i delv per a la sortida en format YAML.
- S'ha afegit l'opció "+[no]inesperat" a la utilitat dig, que permet rebre respostes d'amfitrions diferents del servidor al qual s'ha enviat la sol·licitud.
- S'ha afegit l'opció "+[no]expandaaaa" per a la utilitat d'excavació, que fa que les adreces IPv6 dels registres AAAA es mostrin en representació completa de 128 bits, en lloc de fer-ho en format RFC 5952.
- S'ha afegit la possibilitat de canviar els grups de canals d'estadístiques.
- Ara els registres DS i CDS es generen només a partir dels hash SHA-256 (la generació basada en SHA-1 s'ha interromput).
- Per a la galeta DNS (RFC 7873), l'algoritme predeterminat és SipHash 2-4 i el suport per a HMAC-SHA s'ha interromput (es manté l'AES).
- La sortida de les ordres dnssec-signzone i dnssec-verify s'envia ara a la sortida estàndard (STDOUT), i només s'imprimeixen errors i advertències a STDERR (l'opció -f també imprimeix la zona signada). S'ha afegit l'opció "-q" per silenciar la sortida.
- El codi de validació DNSSEC s'ha reelaborat per eliminar la duplicació de codi amb altres subsistemes.
- Per mostrar estadístiques en format JSON, ara només es pot utilitzar la biblioteca JSON-C. L'opció de configuració "--with-libjson" s'ha canviat de nom a "--with-json-c".
- L'script de configuració ja no té com a predeterminat "--sysconfdir" a /etc i "--localstatedir" a /var tret que s'especifiqui "--prefix". Els camins per defecte són ara $prefix/etc i $prefix/var, tal com s'utilitza a Autoconf.
- S'ha eliminat el codi que implementava el servei DLV (Domain Look-aside Verification, dnssec-lookaside option), que estava obsolet a BIND 9.12, i el controlador dlv.isc.org associat es va desactivar el 2017. L'eliminació dels DLV va alliberar el codi BIND de complicacions innecessàries.
Font: opennet.ru