Vývojáři serveru BIND DNS oznámili přidání serverové podpory pro technologie DNS over HTTPS (DoH, DNS over HTTPS) a DNS over TLS (DoT, DNS over TLS) a také mechanismus XFR-over-TLS pro zabezpečení přenos obsahu DNS zón mezi servery. DoH je k dispozici pro testování ve verzi 9.17 a podpora DoT je k dispozici od verze 9.17.10. Po stabilizaci bude podpora DoT a DoH backportována do stabilní větve 9.17.7.
Implementace protokolu HTTP/2 používaného v DoH je založena na použití knihovny nghttp2, která je zařazena mezi závislosti sestavení (do budoucna se plánuje převedení knihovny do počtu volitelných závislostí). Jsou podporována šifrovaná (TLS) i nešifrovaná připojení HTTP/2. S příslušným nastavením může nyní jeden pojmenovaný proces obsluhovat nejen tradiční DNS dotazy, ale také dotazy zaslané pomocí DoH (DNS-over-HTTPS) a DoT (DNS-over-TLS). Podpora HTTPS na straně klienta (dig) zatím není implementována. Podpora XFR-over-TLS je k dispozici pro příchozí i odchozí požadavky.
Zpracování požadavků pomocí DoH a DoT je povoleno přidáním voleb http a tls do direktivy listen-on. Chcete-li podporovat nešifrované DNS-over-HTTP, měli byste v nastavení zadat „tls none“. Klíče jsou definovány v části "tls". Výchozí síťové porty 853 pro DoT, 443 pro DoH a 80 pro DNS-over-HTTP lze přepsat pomocí parametrů tls-port, https-port a http-port. Například: tls local-tls { key-file "/cesta/k/priv_key.pem"; cert-file "/cesta/k/cert_chain.pem"; }; http místní-http-server { koncové body { "/dns-query"; }; }; možnosti { https-port 443; naslouchací port 443 tls local-tls http myserver {libovolný;}; }
Mezi funkcemi implementace DoH v BIND je integrace uvedena jako obecný transport, který lze použít nejen ke zpracování požadavků klientů na resolver, ale také při výměně dat mezi servery, při přenosu zón autoritativním serverem DNS a při zpracování jakýchkoli požadavků podporovaných jinými transporty DNS.
Další funkcí je možnost přesunout operace šifrování pro TLS na jiný server, což může být nezbytné v podmínkách, kdy jsou certifikáty TLS uloženy v jiném systému (například v infrastruktuře s webovými servery) a spravovány jinými pracovníky. Podpora nešifrovaného DNS-over-HTTP je implementována pro zjednodušení ladění a jako vrstva pro předávání ve vnitřní síti, na jejímž základě lze organizovat šifrování na jiném serveru. Na vzdáleném serveru lze nginx použít ke generování provozu TLS, podobně jako je organizována vazba HTTPS pro webové stránky.
Připomeňme, že DNS-over-HTTPS může být užitečné pro zabránění úniku informací o požadovaných hostitelských názvech přes DNS servery poskytovatelů, potírání MITM útoků a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), potírání zablokování na úrovni DNS (DNS-over-HTTPS nemůže nahradit VPN při obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, když není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DNS-over-HTTPS je požadavek na určení IP adresy hostitele zapouzdřen v HTTPS provozu a odeslán na HTTP server, kde resolver zpracovává požadavky přes Web API.
„DNS over TLS“ se liší od „DNS over HTTPS“ v použití standardního protokolu DNS (obvykle se používá síťový port 853), zabaleného do šifrovaného komunikačního kanálu organizovaného pomocí protokolu TLS s kontrolou platnosti hostitele prostřednictvím certifikovaných certifikátů TLS/SSL certifikační autoritou. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Zdroj: opennet.ru