Ang mga nag-develop sa BIND DNS server nagpahibalo sa pagdugang sa suporta sa server alang sa DNS sa HTTPS (DoH, DNS sa HTTPS) ug DNS sa TLS (DoT, DNS sa TLS) nga mga teknolohiya, ingon man sa XFR-over-TLS nga mekanismo alang sa luwas. pagbalhin sa sulod sa DNS zones tali sa mga server. Ang DoH anaa alang sa pagsulay sa pagpagawas sa 9.17, ug ang suporta sa DoT anaa na sukad sa pagpagawas sa 9.17.10. Human sa stabilization, ang suporta sa DoT ug DoH i-backport sa stable 9.17.7 branch.
Ang pagpatuman sa HTTP/2 nga protocol nga gigamit sa DoH gibase sa paggamit sa nghttp2 library, nga gilakip sa mga dependency sa asembliya (sa umaabot, ang librarya giplanohan nga ibalhin sa gidaghanon sa opsyonal nga dependencies). Parehong naka-encrypt (TLS) ug wala ma-encrypt nga HTTP/2 nga koneksyon gisuportahan. Uban sa angay nga mga setting, ang usa ka gihinganlan nga proseso mahimo na nga magsilbi dili lamang sa tradisyonal nga DNS nga mga pangutana, apan usab mga pangutana nga gipadala gamit ang DoH (DNS-over-HTTPS) ug DoT (DNS-over-TLS). Ang suporta sa HTTPS sa bahin sa kliyente (pagkalot) wala pa gipatuman. Ang suporta sa XFR-over-TLS anaa alang sa inbound ug outbound nga mga hangyo.
Ang pagproseso sa hangyo gamit ang DoH ug DoT gipagana pinaagi sa pagdugang sa http ug tls nga mga opsyon sa direktiba sa pagpamati. Aron suportahan ang wala ma-encrypt nga DNS-over-HTTP, kinahanglan nimong ipiho ang "tls none" sa mga setting. Ang mga yawe gihubit sa seksyon nga "tls". Ang default network ports 853 para sa DoT, 443 para sa DoH ug 80 para sa DNS-over-HTTP mahimong ma-override pinaagi sa tls-port, https-port ug http-port parameters. Pananglitan: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; mga kapilian { https-port 443; listen-on port 443 tls local-tls http myserver {bisan unsa;}; }
Lakip sa mga bahin sa pagpatuman sa DoH sa BIND, ang integrasyon namatikdan isip usa ka kinatibuk-ang transportasyon, nga magamit dili lamang sa pagproseso sa mga hangyo sa kliyente ngadto sa solver, kondili usab sa dihang magbayloay ug data tali sa mga server, sa dihang magbalhin sa mga sona pinaagi sa usa ka awtoritatibong DNS server, ug kung giproseso ang bisan unsang mga hangyo nga gisuportahan sa ubang mga transportasyon sa DNS.
Ang laing bahin mao ang abilidad sa pagbalhin sa mga operasyon sa pag-encrypt para sa TLS ngadto sa laing server, nga mahimong gikinahanglan sa mga kondisyon diin ang mga sertipiko sa TLS gitipigan sa laing sistema (pananglitan, sa usa ka imprastraktura nga adunay mga web server) ug gipadayon sa ubang mga personahe. Ang suporta alang sa wala ma-encrypt nga DNS-over-HTTP gipatuman aron pasimplehon ang pag-debug ug isip usa ka layer alang sa pagpasa sa internal nga network, pinasukad kung diin ang pag-encrypt mahimong maorganisar sa lain nga server. Sa usa ka hilit nga server, ang nginx mahimong magamit aron makamugna ang trapiko sa TLS, parehas sa kung giunsa ang pag-organisar sa HTTPS alang sa mga website.
Atong hinumdoman nga ang DNS-over-HTTPS mahimong mapuslanon sa pagpugong sa pagtulo sa impormasyon bahin sa gihangyo nga host names pinaagi sa DNS servers sa mga providers, pagsumpo sa MITM attacks ug DNS traffic spoofing (pananglitan, kon magkonektar sa publikong Wi-Fi), pag-counter. pag-block sa lebel sa DNS (DNS-over-HTTPS dili makapuli sa usa ka VPN sa pag-bypass sa blocking nga gipatuman sa lebel sa DPI) o alang sa pag-organisar sa trabaho kung imposible nga direktang ma-access ang mga DNS server (pananglitan, kung nagtrabaho pinaagi sa usa ka proxy). Kung sa usa ka normal nga kahimtang ang mga hangyo sa DNS direkta nga gipadala sa mga server sa DNS nga gihubit sa pagsumpo sa sistema, nan sa kaso sa DNS-over-HTTPS ang hangyo aron mahibal-an ang host IP address gi-encapsulated sa trapiko sa HTTPS ug gipadala sa HTTP server, diin giproseso sa solver ang mga hangyo pinaagi sa Web API.
Ang "DNS over TLS" lahi sa "DNS over HTTPS" sa paggamit sa standard DNS protocol (network port 853 ang kasagarang gigamit), giputos sa usa ka encrypted nga channel sa komunikasyon nga giorganisar gamit ang TLS protocol nga adunay host validity checking pinaagi sa TLS/SSL certificates certified pinaagi sa usa ka awtoridad sa sertipikasyon. Ang kasamtangan nga DNSSEC standard naggamit sa encryption lamang sa pag-authenticate sa kliyente ug server, apan dili manalipod sa trapiko gikan sa interception ug dili garantiya sa confidentiality sa mga hangyo.
Source: opennet.ru