11 kuukauden kehitystyön jälkeen ISC-konsortio Ensimmäinen vakaa julkaisu uudesta merkittävästä BIND 9.16 DNS -palvelimen haarasta. Toimialan 9.16 tukea tarjotaan kolmen vuoden ajan vuoden 2 2023. neljännekseen saakka osana pidennettyä tukisykliä. Edellisen LTS-haaran 9.11 päivitykset julkaistaan joulukuuhun 2021 saakka. Tuki haaralle 9.14 päättyy kolmen kuukauden kuluttua.
Pääasiallinen :
- Lisätty KASP (Key and Signing Policy), yksinkertaistettu tapa hallita DNSSEC-avaimia ja digitaalisia allekirjoituksia, jotka perustuvat "dnssec-policy"-direktiivillä määritettyihin asetussääntöihin. Tämän direktiivin avulla voit määrittää tarvittavien uusien avainten luomisen DNS-vyöhykkeille ja ZSK- ja KSK-avainten automaattisen käytön.
- Verkkoalijärjestelmää on suunniteltu merkittävästi uudelleen ja siirrytty kirjastoon perustuvaan asynkroniseen pyyntöjenkäsittelymekanismiin. .
Uudistus ei ole vielä johtanut näkyviin muutoksiin, mutta tulevissa julkaisuissa se tarjoaa mahdollisuuden toteuttaa merkittäviä suorituskyvyn optimointeja ja lisätä tukea uusille protokollille, kuten DNS over TLS. - Parannettu prosessi DNSSEC-luottamusankkurien hallintaan (Trust anchor, julkinen avain, joka on sidottu vyöhykkeeseen tämän vyöhykkeen aitouden tarkistamiseksi). Nyt vanhentuneiden luotettujen avainten ja hallittujen avainten asetusten sijaan on ehdotettu uutta luotettavuusankkurit -direktiiviä, jonka avulla voit hallita molempia avaimia.
Käytettäessä luottamusankkureita aloitusavain-avainsanan kanssa tämän käskyn käyttäytyminen on identtinen hallittujen avainten kanssa, ts. määrittelee luotettavuusankkuriasetuksen RFC 5011:n mukaisesti. Käytettäessä luottamusankkureita staattisen avaimen avainsanan kanssa käyttäytyminen vastaa Truted-keys -direktiiviä, ts. määrittää pysyvän avaimen, jota ei päivitetä automaattisesti. Trust-anchors tarjoaa myös kaksi muuta avainsanaa, iniciaali-ds ja static-ds, joiden avulla voit käyttää luottamusankkureita muodossa (Delegation Signer) DNSKEY:n sijaan, mikä mahdollistaa sidonnan määrittämisen avaimille, joita ei ole vielä julkaistu (IANA-organisaatio aikoo käyttää DS-muotoa ydinvyöhykeavaimissa tulevaisuudessa).
- Vaihtoehto “+yaml” on lisätty dig-, mdig- ja delv-apuohjelmiin YAML-muodossa tulostamista varten.
- "+[no]unexpected" -vaihtoehto on lisätty kaivausohjelmaan, mikä mahdollistaa vastausten vastaanottamisen muilta isänniltä kuin palvelimelta, jolle pyyntö lähetettiin.
- Lisätty "+[no]expandaaaa" -vaihtoehto kaivausohjelmaan, mikä saa AAAA-tietueiden IPv6-osoitteet näkymään täydessä 128-bittisessä muodossa RFC 5952 -muodon sijaan.
- Lisätty mahdollisuus vaihtaa tilastokanavien ryhmiä.
- DS- ja CDS-tietueet luodaan nyt vain SHA-256-tiivisteiden perusteella (SHA-1:een perustuva luonti on lopetettu).
- DNS-evästeen (RFC 7873) oletusalgoritmi on SipHash 2-4, ja HMAC-SHA:n tuki on lopetettu (AES säilytetään).
- Dnssec-signzone- ja dnssec-verify-komentojen tulos lähetetään nyt vakiolähtöön (STDOUT), ja vain virheet ja varoitukset tulostetaan STDERR:iin (-f-vaihtoehto tulostaa myös allekirjoitetun vyöhykkeen). Vaihtoehto "-q" on lisätty mykistämään lähdön.
- DNSSEC-vahvistuskoodi on muokattu poistamaan koodin päällekkäisyys muiden alijärjestelmien kanssa.
- Tilastojen näyttämiseen JSON-muodossa voidaan nyt käyttää vain JSON-C-kirjastoa. Määritysvaihtoehto "--with-libjson" on nimetty uudelleen muotoon "--with-json-c".
- Määrityskomentosarjan oletusarvo ei ole enää "--sysconfdir" tiedostossa /etc ja "--localstatedir" tiedostossa /var, ellei "--etuliite" ole määritetty. Oletuspolut ovat nyt $prefix/etc ja $prefix/var, kuten Autoconfissa käytetään.
- Poistettu koodi, joka toteuttaa DLV (Domain Look-aside Verification, dnssec-lookaside option) -palvelun, joka oli vanhentunut BIND 9.12:ssa, ja siihen liittyvä dlv.isc.org-käsittelijä poistettiin käytöstä vuonna 2017. DLV:iden poistaminen vapautti BIND-koodin tarpeettomista hankaluuksista.
Lähde: opennet.ru