Dopu à 11 mesi di sviluppu, u cunsorziu ISC A prima liberazione stabile di un novu ramu significativu di u servitore DNS BIND 9.16. U supportu per a branche 9.16 serà furnitu per trè anni finu à u 2u trimestre di u 2023 cum'è parte di un ciculu di supportu allargatu. L'aghjurnamenti per u ramu LTS precedente 9.11 continuanu à esse liberati finu à dicembre 2021. U supportu per a branche 9.14 finisce in trè mesi.
menu :
- Added KASP (Key and Signing Policy), un modu simplificatu per gestisce e chjave DNSSEC è e firme digitali, basatu nantu à e regule definite cù a direttiva "dnssec-policy". Questa direttiva permette di cunfigurà a generazione di e chjave novi necessarie per e zoni DNS è l'applicazione automatica di e chjave ZSK è KSK.
- U sottosistema di a rete hè statu significativamente riprogettatu è cambiatu à un mecanismu di trasfurmazione di richieste asincrone implementatu basatu annantu à a biblioteca. .
A rielaborazione ùn hà ancu risultatu in cambiamenti visibili, ma in future versioni darà l'uppurtunità di implementà alcune ottimisazioni di rendiment significativu è aghjunghje supportu per novi protokolli cum'è DNS over TLS. - Prucessu migliuratu per a gestione di l'ancora di fiducia DNSSEC (ancora di fiducia, una chjave publica ligata à una zona per verificà l'autenticità di sta zona). Invece di i paràmetri di e chjave di fiducia è di e chjave gestite, chì sò oghji obsoleti, hè stata pruposta una nova direttiva d'ancora di fiducia chì permette di gestisce i dui tipi di chjave.
Quandu si usanu trust-anchors cù a chjave iniziale di chjave, u cumpurtamentu di sta direttiva hè identica à e chjave amministrate, i.e. definisce u paràmetru di l'ancora di fiducia in cunfurmità cù RFC 5011. Quandu si usanu trust-anchors cù a chjave static-key, u cumpurtamentu currisponde à a direttiva di trusted-keys, i.e. definisce una chjave persistente chì ùn hè micca aghjurnata automaticamente. Trust-anchors offre ancu duie parole più chjave, initial-ds è static-ds, chì permettenu di utilizà l'ancore di fiducia in u formatu (Delegation Signer) invece di DNSKEY, chì permette di cunfigurà ligami per i chjavi chì ùn sò micca stati publicati (l'urganizazione IANA pensa à utilizà u formatu DS per e chjave di a zona core in u futuru).
- L'opzione "+yaml" hè stata aghjunta à l'utilità dig, mdig è delv per l'output in formatu YAML.
- L'opzione "+[no] imprevisu" hè stata aghjunta à l'utilità di scavà, chì permette a ricezione di risposte da l'ospiti altru ch'è u servitore à quale a dumanda hè stata mandata.
- Aggiunta l'opzione "+[no]expandaaaa" per scavà l'utilità, chì face chì l'indirizzi IPv6 in i registri AAAA si mostranu in una rappresentazione completa di 128 bit, piuttostu cà in u furmatu RFC 5952.
- Aggiunta a capacità di cambià gruppi di canali di statistiche.
- I registri DS è CDS sò avà generati solu nantu à l'hash SHA-256 (a generazione basata nantu à SHA-1 hè stata interrotta).
- Per DNS Cookie (RFC 7873), l'algoritmu predeterminatu hè SipHash 2-4, è u supportu per HMAC-SHA hè stata interrotta (AES hè conservatu).
- L'output di i cumandamenti dnssec-signzone è dnssec-verify hè avà mandatu à a pruduzzioni standard (STDOUT), è solu l'errori è l'avvirtimenti sò stampati à STDERR (l'opzione -f stampa ancu a zona firmata). L'opzione "-q" hè stata aghjunta per silenziu l'output.
- U codice di validazione DNSSEC hè statu riformulatu per eliminà a duplicazione di codice cù altri sottosistemi.
- Per vede statistiche in formatu JSON, solu a biblioteca JSON-C pò esse usata. L'opzione di cunfigurazione "--with-libjson" hè stata rinominata in "--with-json-c".
- U script di cunfigurazione ùn hè più predeterminatu à "--sysconfdir" in /etc è "--localstatedir" in /var, salvu chì "--prefix" hè specificatu. I percorsi predeterminati sò avà $prefix/etc è $prefix/var, cumu utilizatu in Autoconf.
- U codice eliminatu chì implementava u serviziu DLV (Domain Look-aside Verification, dnssec-lookaside option), chì era obsoletu in BIND 9.12, è u gestore associatu dlv.isc.org hè statu disattivatu in 2017. L'eliminazione di i DLV hà liberatu u codice BIND da cumplicazioni inutili.
Source: opennet.ru