I sviluppatori di u servitore BIND DNS anu annunziatu l'aghjunzione di u supportu di u servitore per e tecnulugia DNS over HTTPS (DoH, DNS over HTTPS) è DNS over TLS (DoT, DNS over TLS), è ancu u mecanismu XFR-over-TLS per a sicurità. trasferendu u cuntenutu di e zoni DNS trà i servitori. DoH hè dispunibule per a prova in a versione 9.17, è u supportu DoT hè presente da a versione 9.17.10. Dopu a stabilizazione, u supportu DoT è DoH serà backported à u ramu stabile 9.17.7.
L'implementazione di u protokollu HTTP / 2 utilizatu in DoH hè basatu annantu à l'usu di a biblioteca nghttp2, chì hè inclusa trà e dependenzii di l'assemblea (in u futuru, a biblioteca hè prevista per esse trasferita à u numeru di dependenzi opzionali). E duie cunnessione criptate (TLS) è micca criptate HTTP/2 sò supportate. Cù i paràmetri appropritati, un solu prucessu chjamatu pò avà serve micca solu e dumande tradiziunali di DNS, ma ancu e dumande mandate cù DoH (DNS-over-HTTPS) è DoT (DNS-over-TLS). U supportu HTTPS da u cliente (dig) ùn hè ancu implementatu. U supportu XFR-over-TLS hè dispunibule per e dumande in entrata è in uscita.
L'elaborazione di richieste cù DoH è DoT hè attivata aghjustendu l'opzioni http è tls à a direttiva di listen-on. Per supportà DNS-over-HTTP senza criptu, duvete specificà "tls none" in i paràmetri. I chjavi sò definiti in a sezione "tls". I porti di rete predeterminati 853 per DoT, 443 per DoH è 80 per DNS-over-HTTP ponu esse annullati attraversu i paràmetri tls-port, https-port è http-port. Per esempiu: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opzioni { https-port 443; portu d'ascoltu 443 tls local-tls http myserver {qualsiasi;}; }
Trà e caratteristiche di l'implementazione di DoH in BIND, l'integrazione hè nutata cum'è un trasportu generale, chì pò esse aduprata micca solu per processà e richieste di i clienti à u resolutore, ma ancu in u scambiu di dati trà i servitori, quandu si trasferisce zoni da un servitore DNS autoritariu, è quandu si tratta ogni dumanda supportata da altri trasporti DNS.
Un'altra funzione hè a capacità di trasfurmà l'operazioni di criptografia per TLS à un altru servitore, chì pò esse necessariu in e cundizioni induve i certificati TLS sò almacenati in un altru sistema (per esempiu, in una infrastruttura cù servitori web) è mantinuti da altre persunale. U supportu per u DNS-over-HTTP senza criptu hè implementatu per simplificà a debugging è cum'è una capa per trasmette in a reta interna, nantu à a basa di quale a criptografia pò esse urganizata in un altru servitore. In un servitore remotu, nginx pò esse usatu per generà trafficu TLS, simile à cumu u ligame HTTPS hè urganizatu per i siti web.
Ricurdemu chì DNS-over-HTTPS pò esse utile per prevenzione di fughe d'infurmazioni nantu à i nomi di l'ospiti richiesti attraversu i servitori DNS di i fornituri, cumbattimentu di attacchi MITM è spoofing di trafficu DNS (per esempiu, quandu si cunnetta à u Wi-Fi publicu), contru. bluccatu à u livellu DNS (DNS-over-HTTPS ùn pò micca rimpiazzà una VPN in bypassing blocking implementatu à u livellu DPI) o per urganizà u travagliu quandu hè impussibile di accede direttamente à i servitori DNS (per esempiu, quandu travaglia per un proxy). Se in una situazione normale, e dumande DNS sò direttamente mandate à i servitori DNS definiti in a cunfigurazione di u sistema, allora in u casu di DNS-over-HTTPS a dumanda di determinà l'indirizzu IP di l'ospite hè incapsulata in u trafficu HTTPS è mandata à u servitore HTTP, induve u resolutore processa e dumande via l'API Web.
"DNS over TLS" difiere da "DNS over HTTPS" in l'usu di u protocolu DNS standard (u portu di a rete 853 hè generalmente utilizatu), impannillatu in un canale di cumunicazione criptatu urganizatu cù u protocolu TLS cù u cuntrollu di validità di l'ospitu per mezu di certificati TLS / SSL certificati. da una autorità di certificazione. U standard DNSSEC esistente usa a criptografia solu per autentificà u cliente è u servitore, ma ùn pruteghja micca u trafficu da l'intercepzioni è ùn guarantisci micca a cunfidenziale di e dumande.
Source: opennet.ru