Post 11 monatoj da evoluo, la ISC-konsorcio La unua stabila eldono de nova signifa branĉo de la BIND 9.16 DNS-servilo. Subteno por branĉo 9.16 estos provizita por tri jaroj ĝis la 2-a kvarono de 2023 kiel parto de plilongigita subtena ciklo. Ĝisdatigoj por la antaŭa LTS-branĉo 9.11 daŭre estos publikigitaj ĝis decembro 2021. Subteno por branĉo 9.14 finiĝos post tri monatoj.
Ĉefa :
- Aldonita KASP (Ŝlosilo kaj Signing Policy), simpligita maniero administri DNSSEC-ŝlosilojn kaj ciferecajn subskribojn, bazitan sur fiksado de reguloj difinitaj per la "dnssec-politiko" direktivo. Ĉi tiu direktivo permesas al vi agordi la generacion de la necesaj novaj ŝlosiloj por DNS-zonoj kaj la aŭtomatan aplikon de ZSK kaj KSK-ŝlosiloj.
- La retsubsistemo estis signife restrukturita kaj ŝanĝita al nesinkrona peto-pretigmekanismo efektivigita surbaze de la biblioteko. .
La reverkado ankoraŭ ne rezultigis videblajn ŝanĝojn, sed en estontaj eldonoj ĝi provizos la ŝancon efektivigi kelkajn signifajn agado-optimumigojn kaj aldoni subtenon por novaj protokoloj kiel DNS super TLS. - Plibonigita procezo por administri DNSSEC fidankrojn (Fida ankro, publika ŝlosilo ligita al zono por kontroli la aŭtentikecon de ĉi tiu zono). Anstataŭ la agordoj de fidindaj kaj administritaj ŝlosiloj, kiuj nun estas malrekomenditaj, nova direktivo pri fidindaj ankroj estis proponita, kiu ebligas al vi administri ambaŭ specojn de ŝlosiloj.
Kiam oni uzas fid-ankrojn kun la komenca ŝlosilvorto, la konduto de ĉi tiu direktivo estas identa al administritaj ŝlosiloj, t.e. difinas la fidankran agordon laŭ RFC 5011. Kiam oni uzas fidajn ankrojn kun la senmova ŝlosilvorto, la konduto respondas al la direktivo de fidindaj ŝlosiloj, t.e. difinas konstantan ŝlosilon kiu ne estas aŭtomate ĝisdatigita. Trust-ankroj ankaŭ ofertas du pliajn ŝlosilvortojn, komenca-ds kaj static-ds, kiuj ebligas al vi uzi fidajn ankrojn en la formato (Delega Signer) anstataŭ DNSKEY, kio ebligas agordi ligadojn por ŝlosiloj kiuj ankoraŭ ne estis publikigitaj (la IANA-organizo planas uzi la DS-formaton por kernaj ŝlosiloj estonte).
- La opcio "+yaml" estis aldonita al la dig, mdig kaj delv iloj por eligo en YAML-formato.
- La opcio "+[neniu] neatendita" estis aldonita al la dig ilo, permesante la ricevon de respondoj de gastigantoj krom la servilo al kiu la peto estis sendita.
- Aldonita "+[no]expandaaaa" opcio por fosi utilecon, kiu kaŭzas IPv6-adresojn en AAAA-rekordoj montriĝi en plena 128-bita reprezentado, prefere ol en RFC 5952-formato.
- Aldonita la kapablo ŝanĝi grupojn de statistikaj kanaloj.
- DS kaj CDS-rekordoj nun estas generitaj nur surbaze de SHA-256-haŝiŝoj (generacio bazita sur SHA-1 estis nuligita).
- Por DNS Kuketo (RFC 7873), la defaŭlta algoritmo estas SipHash 2-4, kaj subteno por HMAC-SHA estis nuligita (AES estas konservita).
- La eligo de la komandoj dnssec-signzone kaj dnssec-verify nun estas sendita al norma eligo (STDOUT), kaj nur eraroj kaj avertoj estas presitaj al STDERR (la opcio -f ankaŭ presas la subskribitan zonon). La opcio "-q" estis aldonita por silentigi la eligon.
- La DNSSEC-konfirmkodo estis reverkita por elimini kodmultobligon kun aliaj subsistemoj.
- Por montri statistikojn en JSON-formato, nur la JSON-C-biblioteko nun povas esti uzata. La agorda opcio "--with-libjson" estis renomita al "--with-json-c".
- La agorda skripto ne plu defaŭltas al "--sysconfdir" en /etc kaj "--localstatedir" en /var krom se "--prefix" estas specifita. La defaŭltaj vojoj nun estas $prefix/etc kaj $prefix/var, kiel uzataj en Autoconf.
- Forigita kodo efektiviganta la DLV (Domain Look-Aside Verification, dnssec-lookaside opcio) servon, kiu estis malrekomendita en BIND 9.12, kaj la rilata dlv.isc.org pritraktilo estis malŝaltita en 2017. Forigi la DLV-ojn liberigis la BIND-kodon de nenecesaj komplikaĵoj.
fonto: opennet.ru