پس از 11 ماه توسعه، کنسرسیوم ISC اولین نسخه پایدار یک شاخه مهم جدید از سرور DNS BIND 9.16. پشتیبانی برای شعبه 9.16 به مدت سه سال تا سه ماهه دوم سال 2 به عنوان بخشی از یک چرخه پشتیبانی طولانی ارائه می شود. بهروزرسانیهای شاخه قبلی LTS 2023 تا دسامبر 9.11 منتشر میشوند. پشتیبانی شعبه 2021 تا سه ماه دیگر به پایان می رسد.
اصلی :
- KASP (خط مشی کلید و امضا) اضافه شد، روشی ساده برای مدیریت کلیدهای DNSSEC و امضاهای دیجیتال، بر اساس قوانین تنظیم تعریف شده با استفاده از دستورالعمل "dnssec-policy". این دستورالعمل به شما اجازه می دهد تا تولید کلیدهای جدید لازم برای مناطق DNS و کاربرد خودکار کلیدهای ZSK و KSK را پیکربندی کنید.
- زیرسیستم شبکه به طور قابل توجهی بازطراحی شده و به مکانیزم پردازش درخواست ناهمزمان که بر اساس کتابخانه پیاده سازی شده است سوئیچ شده است. .
این کار هنوز به هیچ تغییر قابل مشاهده ای منجر نشده است، اما در نسخه های بعدی فرصتی برای پیاده سازی برخی بهینه سازی های عملکرد قابل توجه و افزودن پشتیبانی از پروتکل های جدید مانند DNS از طریق TLS فراهم می کند. - فرآیند بهبود یافته برای مدیریت لنگرهای اعتماد DNSSEC (Trust Anchor، کلید عمومی متصل به یک منطقه برای تأیید صحت این منطقه). به جای تنظیمات کلیدهای مورد اعتماد و کلیدهای مدیریت شده، که اکنون منسوخ شده اند، دستورالعمل جدیدی برای لنگرهای اعتماد پیشنهاد شده است که به شما امکان می دهد هر دو نوع کلید را مدیریت کنید.
هنگام استفاده از لنگرهای اعتماد با کلیدواژه کلید اولیه، رفتار این دستورالعمل با کلیدهای مدیریت شده یکسان است، یعنی. تنظیم لنگر اعتماد را مطابق با RFC 5011 تعریف میکند. هنگام استفاده از لنگرهای اعتماد با کلیدواژه کلید ثابت، رفتار مطابق با دستورالعمل کلیدهای اعتماد است، یعنی. یک کلید دائمی را تعریف می کند که به طور خودکار به روز نمی شود. Trust-anchors همچنین دو کلمه کلیدی دیگر، first-ds و static-ds را ارائه می دهد که به شما امکان می دهد از لنگرهای اعتماد در قالب استفاده کنید. (Delegation Signer) به جای DNSKEY، که امکان پیکربندی اتصالات برای کلیدهایی که هنوز منتشر نشده اند را ممکن می سازد (سازمان IANA در نظر دارد در آینده از فرمت DS برای کلیدهای ناحیه مرکزی استفاده کند).
- گزینه "+yaml" برای خروجی در فرمت YAML به ابزارهای dig، mdig و delv اضافه شده است.
- گزینه "+[no]unexpected" به ابزار dig اضافه شده است، که امکان دریافت پاسخ ها از میزبانی غیر از سروری که درخواست به آن ارسال شده است را می دهد.
- گزینه «+[no]expandaaaa» به ابزار حفاری اضافه شد، که باعث میشود آدرسهای IPv6 در رکوردهای AAAA بهجای فرمت RFC 128، به صورت کامل 5952 بیتی نشان داده شوند.
- اضافه شدن قابلیت تغییر گروه از کانال های آمار.
- رکوردهای DS و CDS اکنون فقط بر اساس هش SHA-256 تولید می شوند (تولید بر اساس SHA-1 متوقف شده است).
- برای DNS Cookie (RFC 7873)، الگوریتم پیشفرض SipHash 2-4 است و پشتیبانی از HMAC-SHA متوقف شده است (AES حفظ میشود).
- خروجی دستورات dnssec-signzone و dnssec-verify اکنون به خروجی استاندارد (STDOUT) ارسال می شود و فقط خطاها و اخطارها در STDERR چاپ می شوند (گزینه -f نیز منطقه امضا شده را چاپ می کند). گزینه "-q" برای قطع کردن خروجی اضافه شده است.
- کد اعتبارسنجی DNSSEC برای حذف کدهای تکراری با زیرسیستم های دیگر دوباره کار شده است.
- برای نمایش آمار در قالب JSON، اکنون فقط می توان از کتابخانه JSON-C استفاده کرد. گزینه پیکربندی "--with-libjson" به "--with-json-c" تغییر نام داده است.
- اسکریپت پیکربندی دیگر پیشفرض "--sysconfdir" در /etc و "--localstatedir" در /var نیست، مگر اینکه "--prefix" مشخص شده باشد. همانطور که در Autoconf استفاده می شود، اکنون مسیرهای پیش فرض $prefix/etc و $prefix/var هستند.
- کد اجرای سرویس DLV (Domain Look-aside Verification، گزینه dnssec-lookaside) را حذف کرد که در BIND 9.12 منسوخ شده بود و کنترل کننده مرتبط dlv.isc.org در سال 2017 غیرفعال شد. حذف DLV ها، کد BIND را از عوارض غیر ضروری آزاد کرد.
منبع: opennet.ru