Cyhoeddodd datblygwyr y gweinydd DNS BIND ychwanegu cefnogaeth gweinydd ar gyfer y DNS dros dechnolegau HTTPS (DoH, DNS dros HTTPS) a DNS dros TLS (DoT, DNS dros TLS), yn ogystal â mecanwaith XFR-over-TLS ar gyfer diogel. trosglwyddo cynnwys parthau DNS rhwng gweinyddwyr. Mae'r Adran Iechyd ar gael i'w brofi yn rhyddhau 9.17, ac mae cefnogaeth DoT wedi bod yn bresennol ers rhyddhau 9.17.10. Ar ôl sefydlogi, bydd cefnogaeth DoT a DoH yn cael eu dychwelyd i'r gangen 9.17.7 sefydlog.
Mae gweithredu'r protocol HTTP/2 a ddefnyddir yn yr Adran Iechyd yn seiliedig ar y defnydd o'r llyfrgell nghttp2, sydd wedi'i gynnwys ymhlith dibyniaethau'r cynulliad (yn y dyfodol, bwriedir trosglwyddo'r llyfrgell i nifer y dibyniaethau dewisol). Cefnogir cysylltiadau HTTP/2 wedi'u hamgryptio (TLS) a heb eu hamgryptio. Gyda'r gosodiadau priodol, gall un broses a enwir bellach wasanaethu nid yn unig ymholiadau DNS traddodiadol, ond hefyd ymholiadau a anfonir gan ddefnyddio DoH (DNS-over-HTTPS) a DoT (DNS-over-TLS). Nid yw cefnogaeth HTTPS ar ochr y cleient (cloddio) wedi'i weithredu eto. Mae cefnogaeth XFR-over-TLS ar gael ar gyfer ceisiadau i mewn ac allan.
Galluogir prosesu ceisiadau gan ddefnyddio DoH a DoT trwy ychwanegu'r opsiynau http a tls at y gyfarwyddeb gwrando. I gefnogi DNS-over-HTTP heb ei amgryptio, dylech nodi “tls none” yn y gosodiadau. Diffinnir allweddi yn yr adran "tls". Gellir diystyru'r porthladdoedd rhwydwaith diofyn 853 ar gyfer DoT, 443 ar gyfer DoH ac 80 ar gyfer DNS-over-HTTP trwy baramedrau tls-port, https-port a http-port. Er enghraifft: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsiynau { https-port 443; gwrando-ar porthladd 443 tls local-tls http myserver {any;}; }
Ymhlith nodweddion gweithrediad yr Adran Iechyd yn BIND, nodir integreiddio fel cludiant cyffredinol, y gellir ei ddefnyddio nid yn unig i brosesu ceisiadau cleient i'r datryswr, ond hefyd wrth gyfnewid data rhwng gweinyddwyr, wrth drosglwyddo parthau gan weinydd DNS awdurdodol, a wrth brosesu unrhyw geisiadau a gefnogir gan gludiant DNS eraill .
Nodwedd arall yw'r gallu i symud gweithrediadau amgryptio ar gyfer TLS i weinydd arall, a all fod yn angenrheidiol mewn amodau lle mae tystysgrifau TLS yn cael eu storio ar system arall (er enghraifft, mewn seilwaith gyda gweinyddwyr gwe) a'u cynnal gan bersonél eraill. Gweithredir cefnogaeth ar gyfer DNS-over-HTTP heb ei amgryptio i symleiddio dadfygio ac fel haen i'w hanfon ymlaen yn y rhwydwaith mewnol, y gellir trefnu amgryptio ar weinydd arall ar y sail honno. Ar weinydd pell, gellir defnyddio nginx i gynhyrchu traffig TLS, yn debyg i sut mae rhwymo HTTPS yn cael ei drefnu ar gyfer gwefannau.
Gadewch inni gofio y gall DNS-over-HTTPS fod yn ddefnyddiol ar gyfer atal gollyngiadau gwybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS (er enghraifft, wrth gysylltu â Wi-Fi cyhoeddus), gwrthweithio blocio ymlaen ar y lefel DNS (ni all DNS-over-HTTPS ddisodli VPN wrth osgoi blocio a weithredir ar lefel DPI) neu ar gyfer trefnu gwaith pan fydd yn amhosibl cael mynediad uniongyrchol i weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DNS-over-HTTPS mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy Web API.
Mae “DNS over TLS” yn wahanol i “DNS over HTTPS” yn y defnydd o'r protocol DNS safonol (defnyddir porthladd rhwydwaith 853 fel arfer), wedi'i lapio mewn sianel gyfathrebu wedi'i hamgryptio a drefnir gan ddefnyddio'r protocol TLS gyda dilysrwydd gwesteiwr yn gwirio trwy dystysgrifau TLS / SSL ardystiedig gan awdurdod ardystio. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
Ffynhonnell: opennet.ru