De ûntwikkelders fan 'e BIND DNS-tsjinner kundige de tafoeging oan fan serverstipe foar de DNS oer HTTPS (DoH, DNS oer HTTPS) en DNS oer TLS (DoT, DNS oer TLS) technologyen, lykas ek it XFR-over-TLS-meganisme foar feilige it oerdragen fan de ynhâld fan DNS-sônes tusken servers. DoH is beskikber foar testen yn release 9.17, en DoT-stipe is oanwêzich sûnt release 9.17.10. Nei stabilisaasje sil DoT- en DoH-stipe wurde backported nei de stabile 9.17.7-tûke.
De ymplemintaasje fan it HTTP/2-protokol brûkt yn DoH is basearre op it gebrûk fan 'e nghttp2-bibleteek, dy't opnommen is ûnder de assemblage-ôfhinklikens (yn 'e takomst is de bibleteek pland om oerdroegen te wurden nei it oantal opsjonele ôfhinklikens). Sawol fersifere (TLS) as net-fersifere HTTP/2-ferbiningen wurde stipe. Mei de passende ynstellings kin in inkeld neamd proses no net allinich tradisjonele DNS-fragen tsjinje, mar ek queries ferstjoerd mei DoH (DNS-over-HTTPS) en DoT (DNS-over-TLS). HTTPS-stipe oan 'e kliïntkant (dig) is noch net ymplementearre. XFR-over-TLS-stipe is beskikber foar sawol ynkommende as útgeande oanfragen.
Oanfraachferwurking mei DoH en DoT is ynskeakele troch de http- en tls-opsjes ta te foegjen oan 'e listen-on-rjochtline. Om net-fersifere DNS-over-HTTP te stypjen, moatte jo "tls none" opjaan yn 'e ynstellings. Keys wurde definiearre yn de "tls" seksje. De standert netwurkpoarten 853 foar DoT, 443 foar DoH en 80 foar DNS-over-HTTP kinne wurde oerskreaun fia de parameters tls-port, https-port en http-port. Bygelyks: tls local-tls { key-file "/path/to/priv_key.pem"; cert-bestân "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsjes { https-poarte 443; listen-on poarte 443 tls local-tls http myserver {elke;}; }
Under de skaaimerken fan 'e DoH-ymplemintaasje yn BIND wurdt yntegraasje opmurken as in algemien ferfier, dat kin wurde brûkt net allinich om kliïntoanfragen nei de resolver te ferwurkjen, mar ek by it útwikseljen fan gegevens tusken servers, by it oerdragen fan sônes troch in autoritative DNS-tsjinner, en by it ferwurkjen fan alle oanfragen dy't wurde stipe troch oare DNS-transporten.
In oare funksje is de mooglikheid om fersifering operaasjes foar TLS te ferpleatsen nei in oare tsjinner, dat kin nedich wêze yn betingsten dêr't TLS sertifikaten wurde opslein op in oar systeem (bygelyks, yn in ynfrastruktuer mei web tsjinners) en ûnderhâlden troch oar personiel. Stipe foar net-fersifere DNS-over-HTTP wurdt ymplementearre om debuggen te ferienfâldigjen en as in laach foar trochstjoeren yn it ynterne netwurk, op basis wêrfan fersifering kin wurde organisearre op in oare server. Op in tsjinner op ôfstân kin nginx brûkt wurde om TLS-ferkear te generearjen, fergelykber mei hoe't HTTPS-bining wurdt organisearre foar websiden.
Lit ús jo deroan herinnerje dat DNS-over-HTTPS nuttich wêze kin foar it foarkommen fan lekken fan ynformaasje oer oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearsferfanging (bygelyks by it ferbinen mei iepenbiere Wi-Fi), en it wjerstean fan blokkearjen op DNS-nivo (DNS-over-HTTPS kin gjin ferfanger wêze foar ... VPN op it mêd fan it omgean fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk yn gefallen wêr't direkte tagong ta DNS-tsjinners ûnmooglik is (bygelyks by it wurkjen fia in proxy). Wylst yn in normale situaasje DNS-fragen direkt nei DNS-tsjinners stjoerd wurde dy't definieare binne yn 'e systeemkonfiguraasje, yn it gefal fan DNS-over-HTTPS it fersyk om bepaling IP adressen De host wurdt ynkapsulearre yn HTTPS-ferkear en nei in HTTP-tsjinner stjoerd, dêr't de resolver oanfragen ferwurket fia de Web API.
"DNS oer TLS" ferskilt fan "DNS oer HTTPS" yn it gebrûk fan it standert DNS-protokol (netwurkpoarte 853 wurdt normaal brûkt), ferpakt yn in fersifere kommunikaasjekanaal organisearre mei it TLS-protokol mei hostjildigenskontrôle fia TLS/SSL-sertifikaten sertifisearre troch in sertifisearring autoriteit. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Boarne: opennet.ru
