Nach 11 Monaten Entwicklungszeit hat das ISC-Konsortium Die erste stabile Version eines neuen wichtigen Zweigs des BIND 9.16 DNS-Servers. Der Support für Branch 9.16 wird im Rahmen eines erweiterten Supportzyklus drei Jahre lang bis zum 2. Quartal 2023 bereitgestellt. Bis Dezember 9.11 werden weiterhin Updates für den bisherigen LTS-Zweig 2021 veröffentlicht. Der Support für Branch 9.14 endet in drei Monaten.
Haupt- :
- KASP (Key and Signing Policy) hinzugefügt, eine vereinfachte Möglichkeit zur Verwaltung von DNSSEC-Schlüsseln und digitalen Signaturen, basierend auf der Festlegung von Regeln, die mit der Direktive „dnssec-policy“ definiert wurden. Mit dieser Direktive können Sie die Generierung der notwendigen neuen Schlüssel für DNS-Zonen und die automatische Anwendung von ZSK- und KSK-Schlüsseln konfigurieren.
- Das Netzwerksubsystem wurde erheblich überarbeitet und auf einen auf der Bibliothek basierenden asynchronen Anforderungsverarbeitungsmechanismus umgestellt .
Die Überarbeitung hat noch keine sichtbaren Änderungen zur Folge, bietet aber in zukünftigen Versionen die Möglichkeit, einige wesentliche Leistungsoptimierungen zu implementieren und Unterstützung für neue Protokolle wie DNS über TLS hinzuzufügen. - Verbesserter Prozess zur Verwaltung von DNSSEC-Vertrauensankern (Vertrauensanker, ein öffentlicher Schlüssel, der an eine Zone gebunden ist, um die Authentizität dieser Zone zu überprüfen). Anstelle der Einstellungen für vertrauenswürdige Schlüssel und verwaltete Schlüssel, die jetzt veraltet sind, wurde eine neue Trust-Anchors-Direktive vorgeschlagen, mit der Sie beide Arten von Schlüsseln verwalten können.
Bei der Verwendung von Trust-Anchoren mit dem Schlüsselwort „initial-key“ ist das Verhalten dieser Direktive identisch mit dem von „managed-keys“, d. h. Definiert die Trust-Anchor-Einstellung gemäß RFC 5011. Bei der Verwendung von Trust-Anchors mit dem Schlüsselwort static-key entspricht das Verhalten der Trusted-Keys-Direktive, d. h. Definiert einen dauerhaften Schlüssel, der nicht automatisch aktualisiert wird. Trust-Anchors bietet außerdem zwei weitere Schlüsselwörter, initial-ds und static-ds, mit denen Sie Trust-Anker im Format verwenden können (Delegation Signer) anstelle von DNSKEY, was es ermöglicht, Bindungen für Schlüssel zu konfigurieren, die noch nicht veröffentlicht wurden (die IANA-Organisation plant, in Zukunft das DS-Format für Kernzonenschlüssel zu verwenden).
- Den Dienstprogrammen dig, mdig und delv wurde die Option „+yaml“ für die Ausgabe im YAML-Format hinzugefügt.
- Dem Dig-Dienstprogramm wurde die Option „+[no]unexpected“ hinzugefügt, die den Empfang von Antworten von anderen Hosts als dem Server ermöglicht, an den die Anfrage gesendet wurde.
- Dem Dig-Dienstprogramm wurde die Option „+[no]expandaaaa“ hinzugefügt, die dazu führt, dass IPv6-Adressen in AAAA-Datensätzen in vollständiger 128-Bit-Darstellung und nicht im RFC 5952-Format angezeigt werden.
- Es wurde die Möglichkeit hinzugefügt, Gruppen von Statistikkanälen zu wechseln.
- DS- und CDS-Einträge werden jetzt nur noch auf Basis von SHA-256-Hashes generiert (die Generierung auf Basis von SHA-1 wurde eingestellt).
- Für DNS-Cookie (RFC 7873) ist der Standardalgorithmus SipHash 2-4 und die Unterstützung für HMAC-SHA wurde eingestellt (AES bleibt erhalten).
- Die Ausgabe der Befehle dnssec-signzone und dnssec-verify wird jetzt an die Standardausgabe (STDOUT) gesendet und nur Fehler und Warnungen werden an STDERR gedruckt (die Option -f druckt auch die signierte Zone). Die Option „-q“ wurde hinzugefügt, um die Ausgabe stummzuschalten.
- Der DNSSEC-Validierungscode wurde überarbeitet, um Codeduplizierungen mit anderen Subsystemen zu vermeiden.
- Um Statistiken im JSON-Format anzuzeigen, kann jetzt nur noch die JSON-C-Bibliothek verwendet werden. Die Konfigurationsoption „--with-libjson“ wurde in „--with-json-c“ umbenannt.
- Das Konfigurationsskript verwendet nicht mehr standardmäßig „--sysconfdir“ in /etc und „--localstatedir“ in /var, es sei denn, „--prefix“ wird angegeben. Die Standardpfade sind jetzt $prefix/etc und $prefix/var, wie sie in Autoconf verwendet werden.
- Code zur Implementierung des DLV-Dienstes (Domain Look-aside Verification, Option dnssec-lookaside) wurde entfernt, der in BIND 9.12 veraltet war, und der zugehörige dlv.isc.org-Handler wurde 2017 deaktiviert. Durch das Entfernen der DLVs wurde der BIND-Code von unnötigen Komplikationen befreit.
Source: opennet.ru