Efter 11 måneders udvikling, ISC-konsortiet Den første stabile udgivelse af en ny væsentlig gren af BIND 9.16 DNS-serveren. Støtte til afdeling 9.16 ydes i tre år indtil 2. kvartal 2023 som en del af en udvidet støttecyklus. Opdateringer til den tidligere LTS-gren 9.11 vil fortsat blive frigivet indtil december 2021. Support til afdeling 9.14 ophører om tre måneder.
The main :
- Tilføjet KASP (Key and Signing Policy), en forenklet måde at administrere DNSSEC-nøgler og digitale signaturer på, baseret på indstilling af regler defineret ved hjælp af "dnssec-policy"-direktivet. Dette direktiv giver dig mulighed for at konfigurere genereringen af de nødvendige nye nøgler til DNS-zoner og den automatiske anvendelse af ZSK- og KSK-nøgler.
- Netværksundersystemet er blevet væsentligt redesignet og skiftet til en asynkron anmodningsbehandlingsmekanisme implementeret baseret på biblioteket .
Omarbejdet har endnu ikke resulteret i nogen synlige ændringer, men i fremtidige udgivelser vil det give mulighed for at implementere nogle væsentlige ydeevneoptimeringer og tilføje understøttelse af nye protokoller såsom DNS over TLS. - Forbedret proces til styring af DNSSEC-tillidsankre (Trustanker, en offentlig nøgle knyttet til en zone for at bekræfte ægtheden af denne zone). I stedet for indstillinger for tillidsnøgler og administrerede nøgler, som nu er forældet, er der blevet foreslået et nyt tillidsankre-direktiv, der giver dig mulighed for at administrere begge typer nøgler.
Når du bruger tillidsankre med nøgleordet initial-key, er adfærden i dette direktiv identisk med administrerede nøgler, dvs. definerer tillidsanker-indstillingen i overensstemmelse med RFC 5011. Ved brug af tillidsankre med nøgleordet static-key, svarer adfærden til Trusted-keys-direktivet, dvs. definerer en vedvarende nøgle, der ikke opdateres automatisk. Trust-anchors tilbyder også to flere søgeord, initial-ds og static-ds, som giver dig mulighed for at bruge trust-anchors i formatet (Delegation Signer) i stedet for DNSKEY, som gør det muligt at konfigurere bindinger for nøgler, der endnu ikke er offentliggjort (IANA-organisationen planlægger at bruge DS-formatet til kernezonenøgler i fremtiden).
- "+yaml"-indstillingen er blevet tilføjet til dig, mdig og delv-værktøjerne til output i YAML-format.
- Indstillingen "+[no]unexpected" er blevet tilføjet til dig-værktøjet, hvilket tillader modtagelse af svar fra andre værter end den server, som anmodningen blev sendt til.
- Tilføjet "+[no]expandaaaa" mulighed for at grave hjælpeprogram, som får IPv6-adresser i AAAA-poster til at blive vist i fuld 128-bit repræsentation i stedet for i RFC 5952-format.
- Tilføjet muligheden for at skifte grupper af statistikkanaler.
- DS- og CDS-poster genereres nu kun baseret på SHA-256-hashes (generation baseret på SHA-1 er afbrudt).
- For DNS Cookie (RFC 7873) er standardalgoritmen SipHash 2-4, og understøttelse af HMAC-SHA er afbrudt (AES bibeholdes).
- Outputtet af kommandoerne dnssec-signzone og dnssec-verify sendes nu til standardoutput (STDOUT), og kun fejl og advarsler udskrives til STDERR (-f-indstillingen udskriver også den signerede zone). Muligheden "-q" er blevet tilføjet for at dæmpe outputtet.
- DNSSEC-valideringskoden er blevet omarbejdet for at eliminere kodeduplikering med andre undersystemer.
- For at vise statistik i JSON-format kan kun JSON-C-biblioteket nu bruges. Konfigurationsindstillingen "--with-libjson" er blevet omdøbt til "--with-json-c".
- Konfigurationsscriptet er ikke længere standard til "--sysconfdir" i /etc og "--localstatedir" i /var, medmindre "--præfiks" er angivet. Standardstierne er nu $prefix/etc og $prefix/var, som brugt i Autoconf.
- Fjernede kode, der implementerede DLV-tjenesten (Domain Look-aside Verification, dnssec-lookaside option), som blev forældet i BIND 9.12, og den tilknyttede dlv.isc.org-handler blev deaktiveret i 2017. Fjernelse af DLV'erne frigjorde BIND-koden for unødvendige komplikationer.
Kilde: opennet.ru