BIND DNS zerbitzariaren garatzaileek DNS HTTPS (DoH, DNS HTTPS baino gehiago) eta DNS TLS (DoT, DNS TLS baino gehiago) teknologietarako zerbitzariaren euskarria gehitzea iragarri zuten, baita segururako XFR-over-TLS mekanismoa ere. DNS zonen edukia zerbitzarien artean transferitzea. DoH 9.17 bertsioan probak egiteko erabilgarri dago, eta DoT laguntza 9.17.10 bertsiotik dago. Egonkortu ondoren, DoT eta DoH laguntza 9.17.7 adar egonkorrera eramango da.
DoHn erabiltzen den HTTP/2 protokoloaren inplementazioa nghttp2 liburutegiaren erabileran oinarritzen da, muntaia-menpekotasunen artean sartzen dena (etorkizunean, liburutegia aukerako mendekotasun kopurura transferitzea aurreikusten da). Enkriptatutako (TLS) eta zifratu gabeko HTTP/2 konexioak onartzen dira. Ezarpen egokiekin, izendun prozesu bakar batek DNS ohiko kontsultak ez ezik, DoH (DNS-over-HTTPS) eta DoT (DNS-over-TLS) erabiliz bidalitako kontsultak ere balio ditzake. Bezeroaren aldetik (dig) HTTPS euskarria ez da oraindik inplementatu. XFR-over-TLS euskarria eskuragarri dago sarrerako zein irteerako eskaeretarako.
DoH eta DoT erabiliz eskaerak prozesatzea ahalbidetzen da http eta tls aukerak entzuteko zuzentarauari gehituz. Enkriptatu gabeko DNS-a HTTP-ren gainean onartzeko, "tls none" zehaztu beharko zenuke ezarpenetan. Gakoak "tls" atalean definitzen dira. Sare-ataka lehenetsiak DoT-rako 853, DoH-rako 443 eta DNS-over-HTTPrako 80 baliogabetu daitezke tls-port, https-port eta http-port parametroen bidez. Adibidez: tls local-tls { gako-fitxategia "/path/to/priv_key.pem"; cert-fitxategia "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; aukerak { https-port 443; listen-on ataka 443 tls local-tls http nire zerbitzaria {edozein;}; }
DoH-en BIND-en inplementazioaren ezaugarrien artean, integrazioa garraio orokor gisa nabarmentzen da, ebazteko bezeroen eskaerak prozesatzeko ez ezik, zerbitzarien arteko datuak trukatzean ere, DNS zerbitzari autoritario batek eremuak transferitzean, erabil daitekeena. eta beste DNS garraio batzuek onartzen dituzten eskaerak prozesatzen direnean.
Beste ezaugarri bat TLSrako enkriptatze-eragiketak beste zerbitzari batera eramateko gaitasuna da, eta hori beharrezkoa izan daiteke TLS ziurtagiriak beste sistema batean gordeta dauden baldintzetan (adibidez, web zerbitzariak dituen azpiegitura batean) eta beste langileek mantentzen dituzten baldintzetan. Zifratu gabeko DNS-over-HTTP-ren laguntza inplementatzen da arazketa errazteko eta barne sarean birbidaltzeko geruza gisa, eta horren arabera enkriptatzea beste zerbitzari batean antola daiteke. Urruneko zerbitzari batean, nginx TLS trafikoa sortzeko erabil daiteke, webguneetarako HTTPS lotura antolatzen den antzera.
Gogora dezagun DNS-over-HTTPS erabilgarria izan daitekeela hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), aurre egiteko. DNS mailan blokeatzea (DNS-over-HTTPS ezin da VPN bat ordezkatu DPI mailan inplementatutako blokeoa saihestuz) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa denean (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak zuzenean bidaltzen badira sistemaren konfigurazioan definitutako DNS zerbitzarietara, orduan DNS-over-HTTPS-en kasuan ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan sartzen da eta HTTP zerbitzarira bidaltzen da, non. ebazpenak eskaerak prozesatzen ditu Web API bidez.
"DNS over TLS" eta "DNS over HTTPS" desberdina da DNS protokolo estandarraren erabileran (sareko ataka 853 erabiltzen da normalean), TLS protokoloa erabiliz antolatutako komunikazio kanal enkriptatu batean bilduta, ostalariaren baliozkotasuna egiaztatuta TLS/SSL ziurtagirien bidez. ziurtagiri-agintari batek. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Iturria: opennet.ru