Después de 11 meses de desarrollo, el consorcio ISC La primera versión estable de una nueva rama importante del servidor DNS BIND 9.16. El soporte para la rama 9.16 se brindará durante tres años hasta el segundo trimestre de 2 como parte de un ciclo de soporte extendido. Las actualizaciones para la rama LTS 2023 anterior se seguirán publicando hasta diciembre de 9.11. El soporte para la rama 2021 finalizará en tres meses.
El principal :
- Se agregó KASP (Política de claves y firmas), una forma simplificada de administrar claves DNSSEC y firmas digitales, basada en la configuración de reglas definidas mediante la directiva “dnssec-policy”. Esta directiva le permite configurar la generación de las nuevas claves necesarias para las zonas DNS y la aplicación automática de las claves ZSK y KSK.
- El subsistema de red se ha rediseñado significativamente y se ha cambiado a un mecanismo de procesamiento de solicitudes asíncrono implementado basado en la biblioteca. .
La revisión aún no ha dado como resultado ningún cambio visible, pero en versiones futuras brindará la oportunidad de implementar algunas optimizaciones de rendimiento significativas y agregar soporte para nuevos protocolos como DNS sobre TLS. - Proceso mejorado para administrar anclajes de confianza DNSSEC (anclaje de confianza, una clave pública vinculada a una zona para verificar la autenticidad de esta zona). En lugar de las configuraciones de claves confiables y claves administradas, que ahora están en desuso, se ha propuesto una nueva directiva de anclajes de confianza que le permite administrar ambos tipos de claves.
Cuando se utilizan anclajes de confianza con la palabra clave de clave inicial, el comportamiento de esta directiva es idéntico al de las claves administradas, es decir. define la configuración del anclaje de confianza de acuerdo con RFC 5011. Cuando se utilizan anclajes de confianza con la palabra clave static-key, el comportamiento corresponde a la directiva de claves confiables, es decir define una clave persistente que no se actualiza automáticamente. Trust-anchors también ofrece dos palabras clave más, inicial-ds y static-ds, que le permiten utilizar anclajes de confianza en el formato (Firmador de delegación) en lugar de DNSKEY, lo que permite configurar enlaces para claves que aún no se han publicado (la organización de la IANA planea utilizar el formato DS para las claves de zona central en el futuro).
- La opción "+yaml" se ha agregado a las utilidades dig, mdig y delv para generar salida en formato YAML.
- Se agregó la opción “+[no]inesperado” a la utilidad de excavación, lo que permite recibir respuestas de hosts distintos del servidor al que se envió la solicitud.
- Se agregó la opción "+[no]expandaaaa" a la utilidad de excavación, lo que hace que las direcciones IPv6 en los registros AAAA se muestren en representación completa de 128 bits, en lugar de en formato RFC 5952.
- Se agregó la capacidad de cambiar grupos de canales de estadísticas.
- Los registros DS y CDS ahora se generan solo en función de hashes SHA-256 (la generación basada en SHA-1 se ha descontinuado).
- Para la cookie DNS (RFC 7873), el algoritmo predeterminado es SipHash 2-4 y se suspendió la compatibilidad con HMAC-SHA (se conserva AES).
- La salida de los comandos dnssec-signzone y dnssec-verify ahora se envía a la salida estándar (STDOUT) y solo los errores y advertencias se imprimen en STDERR (la opción -f también imprime la zona firmada). Se agregó la opción "-q" para silenciar la salida.
- El código de validación DNSSEC ha sido reelaborado para eliminar la duplicación de código con otros subsistemas.
- Para mostrar estadísticas en formato JSON, ahora solo se puede utilizar la biblioteca JSON-C. Se ha cambiado el nombre de la opción de configuración "--with-libjson" a "--with-json-c".
- El script de configuración ya no tiene como valor predeterminado "--sysconfdir" en /etc y "--localstatedir" en /var a menos que se especifique "--prefix". Las rutas predeterminadas ahora son $prefix/etc y $prefix/var, como se usan en Autoconf.
- Se eliminó el código que implementa el servicio DLV (Domain Look-aside Verification, opción dnssec-lookaside), que quedó obsoleto en BIND 9.12, y el controlador asociado dlv.isc.org se deshabilitó en 2017. La eliminación de los DLV liberó al código BIND de complicaciones innecesarias.
Fuente: opennet.ru