Pärast 11 kuud kestnud arendustööd on ISC konsortsium BIND 9.16 DNS-serveri uue olulise haru esimene stabiilne väljalase. Haru 9.16 toetust antakse pikendatud toetustsükli raames kolmeks aastaks kuni 2. aasta II kvartalini. Eelmise LTS-i haru 2023 värskendused avaldatakse kuni 9.11. aasta detsembrini. Haru 2021 toetus lõpeb kolme kuu pärast.
Kõik :
- Lisatud KASP (Key and Signing Policy), lihtsustatud viis DNSSEC-võtmete ja digitaalallkirjade haldamiseks, mis põhineb dnssec-policy direktiiviga määratletud reeglitel. See direktiiv võimaldab konfigureerida DNS-tsoonide jaoks vajalike uute võtmete genereerimist ning ZSK ja KSK võtmete automaatset rakendamist.
- Võrgu alamsüsteem on oluliselt ümber kujundatud ja üle viidud asünkroonsele päringu töötlemise mehhanismile, mis on rakendatud teegi baasil .
Ümbertöötamine ei ole veel toonud kaasa mingeid nähtavaid muudatusi, kuid tulevastes väljaannetes annab see võimaluse rakendada mõningaid olulisi jõudluse optimeerimisi ja lisada tuge uutele protokollidele, nagu DNS üle TLS-i. - Täiustatud protsess DNSSEC-i usaldusankrute haldamiseks (usaldusankur, tsooniga seotud avalik võti selle tsooni autentsuse kontrollimiseks). Usaldusväärsete võtmete ja hallatavate võtmete sätete asemel, mis on nüüdseks aegunud, on pakutud välja uus usaldusankrute direktiiv, mis võimaldab hallata mõlemat tüüpi võtmeid.
Usaldusankrute kasutamisel alg-võtme märksõnaga on selle direktiivi käitumine identne hallatavate võtmetega, st. defineerib usaldusankru seadistuse vastavalt standardile RFC 5011. Static-key märksõnaga usaldusankrute kasutamisel vastab käitumine usaldusväärsete võtmete direktiivile, st. määrab püsiva võtme, mida automaatselt ei värskendata. Trust-anchors pakub ka veel kahte märksõna, inicial-ds ja static-ds, mis võimaldavad kasutada usaldusankruid vormingus (Delegation Signer) DNSKEY asemel, mis võimaldab seadistada sidumisi võtmetele, mida pole veel avaldatud (IANA organisatsioon plaanib edaspidi kasutada põhitsooni võtmete jaoks DS-vormingut).
- Suvand “+yaml” on lisatud utiliitidele dig, mdig ja delv YAML-vormingus väljastamiseks.
- Dig-utiliidile on lisatud valik „+[no]unexpected”, mis võimaldab vastu võtta vastuseid muudelt hostidelt peale serveri, kuhu päring saadeti.
- Kaevamise utiliidile on lisatud suvand "+[no]expandaaaa", mille tõttu kuvatakse AAAA-kirjetes olevad IPv6-aadressid RFC 128-vormingus asemel täielikus 5952-bitises esituses.
- Lisatud võimalus vahetada statistikakanalite gruppe.
- DS- ja CDS-kirjeid genereeritakse nüüd ainult SHA-256 räsipõhiselt (SHA-1-l põhinev genereerimine on lõpetatud).
- DNS-küpsise (RFC 7873) puhul on vaikealgoritm SipHash 2-4 ja HMAC-SHA tugi on lõpetatud (AES säilib).
- Käskude dnssec-signzone ja dnssec-verify väljund saadetakse nüüd standardväljundisse (STDOUT) ning STDERR-i prinditakse ainult vead ja hoiatused (suvand -f prindib ka allkirjastatud tsooni). Väljundi vaigistamiseks on lisatud valik "-q".
- DNSSEC-i valideerimiskoodi on muudetud, et välistada koodide dubleerimine teiste alamsüsteemidega.
- Statistika kuvamiseks JSON-vormingus saab nüüd kasutada ainult JSON-C teeki. Konfigureerimisvalik "--with-libjson" on ümber nimetatud "--with-json-c".
- Konfigureerimisskript ei kasuta enam vaikimisi "--sysconfdir" failis /etc ja "--localstatedir" kaustas /var, kui "--prefiks" pole määratud. Vaikimisi on nüüd $prefix/etc ja $prefix/var, nagu seda kasutatakse Autoconfis.
- Eemaldatud kood, mis rakendab teenust DLV (Domain Look-aside Verification, dnssec-lookaside variant), mille tugi BIND 9.12 puhul oli aegunud, ja sellega seotud töötleja dlv.isc.org keelati 2017. aastal. DLV-de eemaldamine vabastas BIND-koodi tarbetutest komplikatsioonidest.
Allikas: opennet.ru