Po 11 měsících vývoje konsorcium ISC První stabilní vydání nové významné větve DNS serveru BIND 9.16. Podpora pro větev 9.16 bude poskytována po dobu tří let do 2. čtvrtletí roku 2023 v rámci prodlouženého cyklu podpory. Aktualizace pro předchozí větev LTS 9.11 budou vydávány až do prosince 2021. Podpora pro větev 9.14 skončí za tři měsíce.
hlavní :
- Přidána politika KASP (Key and Signing Policy), zjednodušený způsob správy klíčů DNSSEC a digitálních podpisů, založený na nastavení pravidel definovaných pomocí směrnice „dnssec-policy“. Tato směrnice umožňuje konfigurovat generování potřebných nových klíčů pro zóny DNS a automatickou aplikaci klíčů ZSK a KSK.
- Síťový subsystém byl výrazně přepracován a přešel na asynchronní mechanismus zpracování požadavků implementovaný na základě knihovny .
Přepracování zatím nevedlo k žádným viditelným změnám, ale v budoucích verzích poskytne příležitost implementovat některé významné optimalizace výkonu a přidat podporu pro nové protokoly, jako je DNS přes TLS. - Vylepšený proces správy důvěryhodných kotev DNSSEC (Trust anchor, veřejný klíč vázaný na zónu pro ověření pravosti této zóny). Namísto nastavení důvěryhodných klíčů a spravovaných klíčů, která jsou nyní zastaralá, byla navržena nová direktiva trust-anchors, která umožňuje spravovat oba typy klíčů.
Při použití trust-anchors s klíčovým slovem initial-key je chování této direktivy totožné s managed-keys, tzn. definuje nastavení ukotvení důvěryhodnosti v souladu s RFC 5011. Při použití trust-anchors s klíčovým slovem static-key odpovídá chování direktivě trusted-keys, tzn. definuje trvalý klíč, který se automaticky neaktualizuje. Trust-anchors také nabízí dvě další klíčová slova, initial-ds a static-ds, která vám umožňují používat důvěryhodné kotvy ve formátu (Delegation Signer) namísto DNSKEY, což umožňuje konfigurovat vazby pro klíče, které dosud nebyly publikovány (organizace IANA plánuje v budoucnu používat formát DS pro klíče základní zóny).
- Do obslužných programů dig, mdig a delv byla přidána možnost „+yaml“ pro výstup ve formátu YAML.
- Do obslužného programu dig byla přidána možnost „+[no]unexpected“, která umožňuje příjem odpovědí od jiných hostitelů, než je server, na který byl požadavek odeslán.
- Přidána možnost „+[no]expandaaaa“ pro dig utility, která způsobí, že adresy IPv6 v záznamech AAAA budou zobrazeny v plné 128bitové reprezentaci, nikoli ve formátu RFC 5952.
- Přidána možnost přepínat skupiny statistických kanálů.
- Záznamy DS a CDS jsou nyní generovány pouze na základě hash SHA-256 (generování založené na SHA-1 bylo ukončeno).
- Pro DNS Cookie (RFC 7873) je výchozím algoritmem SipHash 2-4 a podpora pro HMAC-SHA byla ukončena (AES je zachován).
- Výstup příkazů dnssec-signzone a dnssec-verify je nyní odesílán na standardní výstup (STDOUT) a do STDERR se tisknou pouze chyby a varování (volba -f také tiskne podepsanou zónu). Byla přidána volba "-q" pro ztlumení výstupu.
- Ověřovací kód DNSSEC byl přepracován, aby se eliminovala duplicita kódu s jinými subsystémy.
- K zobrazení statistik ve formátu JSON lze nyní použít pouze knihovnu JSON-C. Možnost konfigurace "--with-libjson" byla přejmenována na "--with-json-c".
- Konfigurační skript již nemá výchozí hodnotu "--sysconfdir" v /etc a "--localstatedir" v /var, pokud není zadáno "--prefix". Výchozí cesty jsou nyní $prefix/etc a $prefix/var, jak se používá v Autoconf.
- Byl odstraněn kód implementující službu DLV (Domain Look-aside Verification, dnssec-lookaside option), která byla v BIND 9.12 zastaralá, a související obslužná rutina dlv.isc.org byla deaktivována v roce 2017. Odstranění DLV osvobodilo kód BIND od zbytečných komplikací.
Zdroj: opennet.ru