Udviklerne af BIND DNS-serveren annoncerede tilføjelsen af serverunderstøttelse for teknologierne DNS over HTTPS (DoH, DNS over HTTPS) og DNS over TLS (DoT, DNS over TLS) samt XFR-over-TLS-mekanismen for sikker overførsel af indholdet af DNS-zoner mellem servere. DoH er tilgængelig til test i release 9.17, og DoT-understøttelse har været til stede siden release 9.17.10. Efter stabilisering vil DoT- og DoH-understøttelse blive backporteret til den stabile 9.17.7-gren.
Implementeringen af HTTP/2-protokollen brugt i DoH er baseret på brugen af nghttp2-biblioteket, som er inkluderet blandt assembly-afhængighederne (i fremtiden planlægges biblioteket at blive overført til antallet af valgfrie afhængigheder). Både krypterede (TLS) og ukrypterede HTTP/2-forbindelser understøttes. Med de passende indstillinger kan en enkelt navngivet proces nu ikke kun betjene traditionelle DNS-forespørgsler, men også forespørgsler sendt ved hjælp af DoH (DNS-over-HTTPS) og DoT (DNS-over-TLS). HTTPS-understøttelse på klientsiden (dig) er endnu ikke implementeret. XFR-over-TLS support er tilgængelig for både indgående og udgående anmodninger.
Anmodningsbehandling ved hjælp af DoH og DoT aktiveres ved at tilføje http- og tls-mulighederne til lytte-på-direktivet. For at understøtte ukrypteret DNS-over-HTTP skal du angive "tls none" i indstillingerne. Nøgler er defineret i "tls" sektionen. Standardnetværksportene 853 for DoT, 443 for DoH og 80 for DNS-over-HTTP kan tilsidesættes gennem tls-port, https-port og http-port parametrene. For eksempel: tls local-tls { key-file "/path/to/priv_key.pem"; cert-fil "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; muligheder { https-port 443; lytte-på-port 443 tls local-tls http minserver {enhver;}; }
Blandt funktionerne i DoH-implementeringen i BIND er integration bemærket som en generel transport, som ikke kun kan bruges til at behandle klientanmodninger til resolveren, men også ved udveksling af data mellem servere, ved overførsel af zoner af en autoritativ DNS-server, og ved behandling af anmodninger, der understøttes af andre DNS-transporter.
En anden funktion er muligheden for at flytte krypteringsoperationer for TLS til en anden server, hvilket kan være nødvendigt under forhold, hvor TLS-certifikater er lagret på et andet system (for eksempel i en infrastruktur med webservere) og vedligeholdes af andet personale. Understøttelse af ukrypteret DNS-over-HTTP er implementeret for at forenkle debugging og som et lag til videresendelse i det interne netværk, på grundlag af hvilket kryptering kan organiseres på en anden server. På en fjernserver kan nginx bruges til at generere TLS-trafik, svarende til hvordan HTTPS-binding er organiseret for websteder.
Lad os huske på, at DNS-over-HTTPS kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (f.eks. ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS-niveau (DNS-over-HTTPS kan ikke erstatte en VPN ved at omgå blokering implementeret på DPI-niveau) eller til at organisere arbejde, når det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, er anmodningen om at bestemme værtens IP-adresse i tilfælde af DNS-over-HTTPS indkapslet i HTTPS-trafik og sendt til HTTP-serveren, hvor resolveren behandler anmodninger via Web API.
"DNS over TLS" adskiller sig fra "DNS over HTTPS" ved brugen af standard DNS-protokollen (netværksport 853 bruges normalt), pakket ind i en krypteret kommunikationskanal organiseret ved hjælp af TLS-protokollen med værtsvaliditetskontrol gennem TLS/SSL-certifikater certificeret af en certificeringsmyndighed. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
Kilde: opennet.ru