Après 11 mois de développement, le consortium ISC La première version stable d'une nouvelle branche importante du serveur DNS BIND 9.16. Le support de la branche 9.16 sera fourni pendant trois ans jusqu'au 2ème trimestre 2023 dans le cadre d'un cycle de support étendu. Les mises à jour pour la branche LTS précédente 9.11 continueront d'être publiées jusqu'en décembre 2021. Le support de la branche 9.14 prendra fin dans trois mois.
principal :
- Ajout de KASP (Key and Signing Policy), un moyen simplifié de gérer les clés DNSSEC et les signatures numériques, basé sur des règles de paramétrage définies à l'aide de la directive « dnssec-policy ». Cette directive permet de configurer la génération des nouvelles clés nécessaires pour les zones DNS et l'application automatique des clés ZSK et KSK.
- Le sous-système réseau a été considérablement repensé et basculé vers un mécanisme de traitement de requêtes asynchrone implémenté sur la base de la bibliothèque .
La refonte n'a pas encore entraîné de changements visibles, mais dans les versions futures, elle offrira la possibilité de mettre en œuvre des optimisations de performances significatives et d'ajouter la prise en charge de nouveaux protocoles tels que DNS sur TLS. - Processus amélioré de gestion des ancres de confiance DNSSEC (Trust Anchor, une clé publique liée à une zone pour vérifier l'authenticité de cette zone). Au lieu des paramètres de clés de confiance et de clés gérées, désormais obsolètes, une nouvelle directive trust-anchors a été proposée qui vous permet de gérer les deux types de clés.
Lors de l'utilisation d'ancres de confiance avec le mot-clé initial-key, le comportement de cette directive est identique à celui des clés gérées, c'est-à-dire définit le paramètre d'ancrage de confiance conformément à la RFC 5011. Lors de l'utilisation d'ancres de confiance avec le mot-clé static-key, le comportement correspond à la directive trust-keys, c'est-à-dire définit une clé persistante qui n'est pas automatiquement mise à jour. Trust-anchors propose également deux mots-clés supplémentaires, initial-ds et static-ds, qui vous permettent d'utiliser des ancres de confiance au format (Delegation Signer) au lieu de DNSKEY, qui permet de configurer des liaisons pour des clés qui n'ont pas encore été publiées (l'organisation IANA prévoit d'utiliser le format DS pour les clés de zone centrale à l'avenir).
- L'option « +yaml » a été ajoutée aux utilitaires dig, mdig et delv pour la sortie au format YAML.
- L'option « +[no]unexpected » a été ajoutée à l'utilitaire dig, permettant la réception de réponses d'hôtes autres que le serveur auquel la requête a été envoyée.
- Ajout de l'option "+[no]expandaaaa" pour l'utilitaire dig, qui entraîne l'affichage des adresses IPv6 dans les enregistrements AAAA dans une représentation complète de 128 bits, plutôt qu'au format RFC 5952.
- Ajout de la possibilité de changer de groupe de canaux de statistiques.
- Les enregistrements DS et CDS sont désormais générés uniquement sur la base des hachages SHA-256 (la génération basée sur SHA-1 a été interrompue).
- Pour les cookies DNS (RFC 7873), l'algorithme par défaut est SipHash 2-4 et la prise en charge de HMAC-SHA a été interrompue (AES est conservé).
- La sortie des commandes dnssec-signzone et dnssec-verify est désormais envoyée vers la sortie standard (STDOUT), et seuls les erreurs et les avertissements sont imprimés sur STDERR (l'option -f imprime également la zone signée). L'option "-q" a été ajoutée pour désactiver la sortie.
- Le code de validation DNSSEC a été retravaillé pour éliminer la duplication de code avec d'autres sous-systèmes.
- Pour afficher les statistiques au format JSON, seule la bibliothèque JSON-C peut désormais être utilisée. L'option de configuration "--with-libjson" a été renommée "--with-json-c".
- Le script de configuration n'est plus par défaut "--sysconfdir" dans /etc et "--localstatedir" dans /var sauf si "--prefix" est spécifié. Les chemins par défaut sont désormais $prefix/etc et $prefix/var, tels qu'utilisés dans Autoconf.
- Suppression du code implémentant le service DLV (Domain Look-aside Verification, option dnssec-lookaside), qui était obsolète dans BIND 9.12, et le gestionnaire dlv.isc.org associé a été désactivé en 2017. La suppression des DLV a libéré le code BIND de complications inutiles.
Source: opennet.ru