Nei 11 moannen fan ûntwikkeling, it ISC-konsortium De earste stabile release fan in nije wichtige tûke fan 'e BIND 9.16 DNS-tsjinner. Stipe foar branch 9.16 sil wurde levere foar trije jier oant it 2e fearnsjier fan 2023 as ûnderdiel fan in útwreide stipesyklus. Updates foar de foarige LTS-tûke 9.11 sille bliuwend wurde frijlitten oant desimber 2021. Stipe foar branch 9.14 sil oer trije moannen einigje.
haad :
- KASP tafoege (Key and Signing Policy), in ferienfâldige manier om DNSSEC-kaaien en digitale hantekeningen te behearjen, basearre op it ynstellen fan regels definieare mei de rjochtline "dnssec-policy". Dizze rjochtline lit jo de generaasje fan de nedige nije kaaien foar DNS-sônes konfigurearje en de automatyske tapassing fan ZSK- en KSK-kaaien.
- It netwurksubsysteem is signifikant opnij ûntworpen en oerskeakele nei in asynchrone ferwurkingsmeganisme foar oanfraach ymplementearre op basis fan 'e bibleteek .
De werynrjochting hat noch gjin sichtbere feroaringen resultearre, mar yn takomstige releases sil it de kâns jaan om wat wichtige prestaasjesoptimalisaasjes te ymplementearjen en stipe ta te foegjen foar nije protokollen lykas DNS oer TLS. - Ferbettere proses foar it behearen fan DNSSEC fertrouwenankers (Trustanker, in iepenbiere kaai ferbûn oan in sône om de autentisiteit fan dizze sône te ferifiearjen). Yn stee fan de ynstellings foar fertroude kaaien en beheare kaaien, dy't no ôfret binne, is in nije rjochtline foar fertrouwenankers foarsteld wêrmei jo beide soarten kaaien kinne beheare.
By it brûken fan fertrouwenankers mei it inisjele kaai-kaaiwurd, is it gedrach fan dizze rjochtline identyk oan managed-keys, d.w.s. definiearret de ynstelling fan fertrouwenanker yn oerienstimming mei RFC 5011. By it brûken fan fertrouwenankers mei it statyske kaaiwurd, komt it gedrach oerien mei de rjochtline foar fertroude kaaien, d.w.s. definiearret in oanhâldende kaai dy't net automatysk bywurke wurdt. Trust-ankers biedt ek noch twa kaaiwurden, initial-ds en static-ds, wêrtroch jo fertrouwenankers yn it formaat kinne brûke (Delegaasjeûndertekener) ynstee fan DNSKEY, wêrtroch it mooglik is om bindingen te konfigurearjen foar kaaien dy't noch net publisearre binne (de IANA-organisaasje is fan plan it DS-formaat te brûken foar kearnsône-kaaien yn 'e takomst).
- De opsje "+ yaml" is tafoege oan 'e dig, mdig en delv-hulpprogramma's foar útfier yn YAML-formaat.
- De opsje "+[gjin] ûnferwachts" is tafoege oan it dig-hulpprogramma, wêrtroch de ûntfangst fan antwurden fan oare hosts dan de tsjinner wêrnei't it fersyk is stjoerd.
- Added "+[no]expandaaaa" opsje om nut te graven, wêrtroch IPv6-adressen yn AAAA-records wurde werjûn yn folsleine 128-bit-representaasje, ynstee fan yn RFC 5952-formaat.
- De mooglikheid tafoege om groepen statistykkanalen te wikseljen.
- DS- en CDS-records wurde no allinich generearre op basis fan SHA-256-hashes (generaasje basearre op SHA-1 is staakt).
- Foar DNS Cookie (RFC 7873) is it standertalgoritme SipHash 2-4, en stipe foar HMAC-SHA is beëinige (AES wurdt behâlden).
- De útfier fan de kommando's dnssec-signzone en dnssec-verify wurdt no stjoerd nei standertútfier (STDOUT), en allinich flaters en warskôgings wurde printe nei STDERR (de -f-opsje printet ek de ûndertekene sône). De opsje "-q" is tafoege om de útfier te dempen.
- De DNSSEC-validaasjekoade is opnij bewurke om koadeduplikaasje mei oare subsystemen te eliminearjen.
- Om statistiken yn JSON-formaat wer te jaan, kin no allinich de JSON-C-bibleteek brûkt wurde. De konfiguraasje-opsje "--with-libjson" is omneamd ta "--with-json-c".
- It konfiguraasjeskript is net langer standert op "--sysconfdir" yn /etc en "--localstatedir" yn /var, útsein as "--prefix" oantsjutte is. De standertpaden binne no $prefix/etc en $prefix/var, lykas brûkt yn Autoconf.
- Fuortsmite koade dy't de DLV (Domain Look-aside Verification, dnssec-lookaside-opsje) tsjinst ymplementearje, dy't yn BIND 9.12 ôfskreaun waard, en de assosjearre dlv.isc.org-handler waard yn 2017 útskeakele. It fuortsmiten fan de DLV's befrijde de BIND-koade fan ûnnedige komplikaasjes.
Boarne: opennet.ru