BIND DNS-serveri arendajad teatasid serveritoe lisamisest DNS-i üle HTTPS-i (DoH, DNS üle HTTPS) ja DNS-i üle TLS-i (DoT, DNS üle TLS-i) tehnoloogiatele, samuti XFR-over-TLS-i mehhanismi turvalisuse tagamiseks. DNS-tsoonide sisu ülekandmine serverite vahel. DoH on testimiseks saadaval versioonis 9.17 ja DoT tugi on olemas alates versioonist 9.17.10. Pärast stabiliseerimist kantakse DoT ja DoH tugi tagasi stabiilsele 9.17.7 harule.
DoH-s kasutatava HTTP/2 protokolli realiseerimine põhineb nghttp2 teegi kasutamisel, mis sisaldub koostesõltuvuste hulgas (edaspidi on teek plaanis üle kanda valikuliste sõltuvuste hulka). Toetatud on nii krüptitud (TLS) kui ka krüptimata HTTP/2-ühendused. Sobivate sätetega saab üks nimega protsess nüüd teenindada mitte ainult traditsioonilisi DNS-päringuid, vaid ka päringuid, mis on saadetud DoH (DNS-üle-HTTPS) ja DoT-i (DNS-over-TLS) kaudu. Kliendipoolne HTTPS-i tugi (dig) pole veel rakendatud. XFR-over-TLS tugi on saadaval nii sissetulevate kui ka väljaminevate päringute jaoks.
Taotluste töötlemine DoH ja DoT abil on lubatud, lisades kuulamisdirektiivile suvandid http ja tls. Krüptimata DNS-over-HTTP toetamiseks peaksite seadetes määrama "tls none". Võtmed on määratletud jaotises "tls". Vaikimisi võrguporte 853 DoT jaoks, 443 DoH jaoks ja 80 DNS-over-HTTP jaoks saab alistada parameetrite tls-port, https-port ja http-port kaudu. Näiteks: tls local-tls { võtmefail "/tee/privt_võti.pem"; cert-fail "/tee/to/cert_chain.pem"; }; http local-http-server { lõpp-punktid { "/dns-päring"; }; }; valikud { https-port 443; kuulamisport 443 tls local-tls http myserver {ükskõik milline;}; }
DoH-i BIND-i juurutamise funktsioonide hulgas märgitakse integreerimist kui üldist transporti, mida saab kasutada mitte ainult kliendi päringute töötlemiseks lahendaja poole, vaid ka serverite vahel andmete vahetamisel, tsoonide edastamisel autoriteetse DNS-serveri poolt ja muude DNS-i transportide toetatud taotluste töötlemisel.
Teine funktsioon on võimalus teisaldada TLS-i krüpteerimistoiminguid teise serverisse, mis võib olla vajalik tingimustes, kus TLS-i sertifikaate hoitakse teises süsteemis (näiteks veebiserveritega infrastruktuuris) ja neid hooldavad teised töötajad. Krüptimata DNS-over-HTTP tugi on realiseeritud silumise lihtsustamiseks ja sisevõrgus edastamise kihina, mille alusel saab korraldada krüptimist teises serveris. Kaugserveris saab nginxi kasutada TLS-i liikluse genereerimiseks, sarnaselt sellele, kuidas veebisaitide HTTPS-i sidumine on korraldatud.
Tuletagem meelde, et DNS-over-HTTPS võib olla kasulik taotletud hostinimede teabelekke vältimiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-liikluse võltsimise vastu võitlemisel (näiteks avaliku WiFi-võrguga ühenduse loomisel), DNS-i tasemel blokeerimine (DNS-over-HTTPS ei saa asendada VPN-i DPI-tasemel rakendatud blokeerimisest möödahiilimisel) või tööde korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DNS-üle-HTTPS-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb päringuid veebi API kaudu.
"DNS over TLS" erineb DNS-ist HTTPS-i kaudu standardse DNS-protokolli kasutamise poolest (tavaliselt kasutatakse võrguporti 853), mis on mähitud krüpteeritud sidekanalisse, mis on korraldatud TLS-protokolli kasutades ja hosti kehtivust kontrollib TLS/SSL-sertifikaatide kaudu. sertifitseerimisasutuse poolt. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Allikas: opennet.ru