Tar éis dhá bhliain d'fhorbairt, tá cuibhreannas ISC tar éis an chéad scaoileadh cobhsaí de bhrainse mór nua de fhreastalaí DNS BIND 9.18 a scaoileadh. Soláthrófar tacaíocht do bhrainse 9.18 ar feadh trí bliana go dtí an 2ú ráithe de 2025 mar chuid de thimthriall tacaíochta sínte. Tiocfaidh deireadh le tacaíocht do chraobh 9.11 i mí an Mhárta, agus tacaíocht don chraobh 9.16 i lár 2023. Chun feidhmiúlacht an chéad leagan cobhsaí eile de BIND a fhorbairt, tá brainse turgnamhach BIND 9.19.0 curtha le chéile.
Tá scaoileadh BIND 9.18.0 suntasach maidir le cur i bhfeidhm tacaíochta do DNS thar HTTPS (DoH, DNS thar HTTPS) agus DNS thar TLS (DoT, DNS thar TLS), chomh maith leis an meicníocht XoT (XFR-over-TLS) chun ábhar DNS a aistriú slán. criosanna idir freastalaithe (tacaítear le criosanna seolta agus glactha trí XoT). Leis na socruithe cuí, is féidir le próiseas ainmnithe amháin freastal anois ní hamháin ar cheisteanna DNS traidisiúnta, ach freisin ar cheisteanna a sheoltar ag baint úsáide as DNS-over-HTTPS agus DNS-over-TLS. Tá tacaíocht cliant le haghaidh DNS-over-TLS ionsuite san fhóntas tochailt, ar féidir é a úsáid chun iarratais a sheoladh thar TLS nuair a shonraítear an bhratach "+ tls".
Tá cur i bhfeidhm an phrótacail HTTP/2 a úsáidtear sa Roinn Sláinte bunaithe ar úsáid na leabharlainne nghttp2, a chuimsítear mar spleáchas roghnach ar thionól. Is féidir leis an úsáideoir deimhnithe le haghaidh RS agus DoT a sholáthar nó a ghiniúint go huathoibríoch ag am tosaithe.
Is féidir próiseáil iarratais ag baint úsáide as DoH agus DoT trí na roghanna "http" agus "tls" a chur leis an treoir éisteachta. Chun tacú le DNS-over-HTTP neamhchriptithe, ba cheart duit “tls none” a shonrú sna socruithe. Sainmhínítear eochracha sa chuid "tls". Is féidir na calafoirt líonra réamhshocraithe 853 le haghaidh DoT, 443 le haghaidh DoH agus 80 le haghaidh DNS-over-HTTP a shárú trí na paraiméadair tls-port, https-port agus http-port. Mar shampla:
tls local-tls { eochair-chomhad "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { críochphointí { "/dns-query"; }; }; roghanna { https-port 443; port éisteachta 443 tls local-tls http myserver {ar bith;}; }
Ceann de na gnéithe de chur i bhfeidhm an DoH i BIND is ea an cumas oibríochtaí criptithe do TLS a aistriú chuig freastalaí eile, rud a d’fhéadfadh a bheith riachtanach i gcoinníollacha ina stóráiltear deimhnithe TLS ar chóras eile (mar shampla, i mbonneagar le freastalaithe gréasáin) agus a chothabháil. ag pearsanra eile. Cuirtear tacaíocht do DNS-thar-HTTP neamhchriptithe i bhfeidhm chun dífhabhtú a shimpliú agus mar shraith le cur ar aghaidh chuig freastalaí eile ar an líonra inmheánach (chun criptiú a aistriú chuig freastalaí ar leith). Ar fhreastalaí iargúlta, is féidir nginx a úsáid chun trácht TLS a ghiniúint, cosúil leis an gcaoi a eagraítear ceangailteach HTTPS do láithreáin ghréasáin.
Gné eile is ea comhtháthú DoH mar iompar ginearálta is féidir a úsáid ní hamháin chun iarratais cliant a láimhseáil chuig an réititheoir, ach freisin nuair a bhíonn cumarsáid á déanamh idir freastalaithe, nuair a bhíonn criosanna á n-aistriú ag freastalaí DNS údarásach, agus nuair a bhíonn aon cheisteanna a fhaigheann tacaíocht ó DNS eile á bpróiseáil. iompair.
I measc na n-easnamh is féidir a chúiteamh tríd an tógáil le DoH/DoT a dhíchumasú nó an criptiú a aistriú go freastalaí eile, seasann casta ginearálta an bhunachair chóid amach - cuirtear freastalaí HTTP ionsuite agus leabharlann TLS leis, a d’fhéadfadh a bheith ann. leochaileachtaí agus gníomhú mar veicteoirí breise le haghaidh ionsaithe. Chomh maith leis sin, nuair a úsáidtear DoH, méadaíonn an trácht.
Lig dúinn a thabhairt chun cuimhne gur féidir le DNS-over-HTTPS a bheith úsáideach chun sceitheadh faisnéise faoi na hainmneacha óstacha iarrtha a chosc trí fhreastalaithe DNS soláthraithe, ag comhrac in aghaidh ionsaithe MITM agus spoofing tráchta DNS (mar shampla, nuair a nascadh le Wi-Fi poiblí), ag cur in aghaidh. bac a chur ar an leibhéal DNS (ní féidir le DNS-over-HTTPS VPN a chur in ionad VPN chun bac a chur i bhfeidhm ag an leibhéal DPI a sheachbhóthar) nó chun obair a eagrú nuair nach féidir rochtain dhíreach a fháil ar fhreastalaithe DNS (mar shampla, agus tú ag obair trí sheachvótálaí). Más rud é i ngnáth-staid seoltar iarratais DNS go díreach chuig freastalaithe DNS atá sainmhínithe i gcumraíocht an chórais, ansin i gcás DNS-thar-HTTPS cuimsítear an t-iarratas chun seoladh IP an óstaigh a chinneadh i dtrácht HTTPS agus seoltar chuig an bhfreastalaí HTTP é, áit a bhfuil Próiseálann an réititheoir iarratais trí Web API.
Tá difríocht idir “DNS over TLS” agus “DNS over HTTPS” in úsáid an phrótacail DNS chaighdeánaigh (úsáidtear port líonra 853 de ghnáth), fillte i gcainéal cumarsáide criptithe arna eagrú ag baint úsáide as an bprótacal TLS le bailíocht an óstaigh á sheiceáil trí theastais TLS/SSL deimhnithe ag údarás deimhniúcháin. Ní úsáideann an caighdeán DNSSEC reatha criptiú ach amháin chun an cliant agus an freastalaí a fhíordheimhniú, ach ní chosnaíonn sé trácht ó thascradh agus ní ráthaíonn sé rúndacht na n-iarratas.
Roinnt nuálaíochtaí eile:
- Cuireadh socruithe tcp-receive-maolán, tcp-send-maolán, udp-receive-maolán agus udp-send-maolán leis chun méideanna na maoláin a úsáidtear chun iarratais a sheoladh agus a fháil thar TCP agus UDP a shocrú. Ar fhreastalaithe gnóthacha, cabhróidh méadú ar mhaoláin atá ag teacht isteach chun paicéid a sheachaint a bheith ag titim le linn buaicphointí tráchta, agus má laghdaítear iad cabhróidh sé le fáil réidh le clogáil cuimhne le seaniarratais.
- Tá catagóir logála nua “rpz-passthru” curtha leis, a ligeann duit logáil isteach ar leithligh ar ghníomhartha ar aghaidh RPZ (Criosanna Beartais Freagartha).
- Sa rannán ar bheartas freagartha, tá an rogha “nsdname-wait-recurse” curtha leis, nuair a shocraítear “níl”, ní chuirtear rialacha RPZ NSDNAME i bhfeidhm ach amháin má aimsítear freastalaithe ainmneacha údarásacha atá i láthair sa taisce don iarratas, nó mura mbíonn an Ní thugtar aird ar riail RPZ NSDNAME, ach faightear an fhaisnéis sa chúlra agus baineann sí le hiarratais ina dhiaidh sin.
- Maidir le taifid le cineálacha HTTPS agus SVCB, tá próiseáil na rannóige “BREISE” curtha i bhfeidhm.
- Cuireadh cineálacha rialacha polasaí nuashonraithe saincheaptha leis - krb5-subdomain-self-rhs agus ms-subdomain-self-rhs, a cheadaíonn duit nuashonrú taifead SRV agus PTR a theorannú. Cuireann na bloic polasaí nuashonraithe leis an gcumas freisin teorainneacha a leagan síos ar líon na dtaifead, aonair do gach cineál.
- Cuireadh faisnéis faoin bprótacal iompair (UDP, TCP, TLS, HTTPS) agus réimírí DNS64 le haschur na fóntais tochailte. Chun críocha dífhabhtaithe, tá an cumas curtha leis ag tochailt chun aitheantóir iarratais ar leith a shonrú (dig +qid=).
- Tacaíocht bhreise do leabharlann OpenSSL 3.0.
- Chun aghaidh a thabhairt ar shaincheisteanna maidir le hilroinnt IP agus teachtaireachtaí DNS móra á bpróiseáil arna sainaithint ag DNS Flag Day 2020, baineadh an cód a choigeartóidh méid maoláin EDNS nuair nach bhfuil aon fhreagra ar iarratas ón réititheoir. Tá méid maoláin an EDNS socraithe go seasta anois (edns-udp-size) le haghaidh gach iarratas amach.
- Aistríodh an córas tógála chuig teaglaim de autoconf, automake agus libtool.
- Tá deireadh curtha leis an tacaíocht do chomhaid chrios san fhormáid “léarscáil” (léarscáil formáid máistirchomhaid). Moltar d'úsáideoirí na formáide seo criosanna a thiontú go formáid amh ag baint úsáide as an bhfóntas ainmnithe-compilezone.
- Cuireadh deireadh leis an tacaíocht do thiománaithe DLZ (Criosanna In-Luchtaithe Dinimiciúla) níos sine, agus cuireadh modúil DLZ ina n-ionad.
- Tá deireadh curtha le tacaíocht tógála agus rith d'ardán Windows. Is é BIND 9.16 an brainse deireanach is féidir a shuiteáil ar Windows.
Foinse: oscailtenet.ru