Dh’ainmich luchd-leasachaidh an t-seirbheisiche BIND DNS gun deach taic frithealaiche a chuir ris airson an DNS thairis air HTTPS (DoH, DNS thairis air HTTPS) agus DNS thairis air teicneòlasan TLS (DoT, DNS over TLS), a bharrachd air an inneal XFR-over-TLS airson tèarainteachd a’ gluasad susbaint nan sònaichean DNS eadar frithealaichean. Tha DoH ri fhaighinn airson deuchainn ann an sgaoileadh 9.17, agus tha taic DoT air a bhith an làthair bho chaidh a leigeil ma sgaoil 9.17.10. Às deidh seasmhachd, thèid taic DoT agus DoH a thoirt air ais chun mheur seasmhach 9.17.7.
Tha buileachadh a’ phròtacail HTTP/2 a thathar a’ cleachdadh ann an DoH stèidhichte air cleachdadh leabharlann nghttp2, a tha air a ghabhail a-steach am measg eisimeileachd an t-seanaidh (san àm ri teachd, thathas an dùil an leabharlann a ghluasad chun àireamh de dh’ eisimeileachd roghnach). Tha an dà chuid ceanglaichean crioptaichte (TLS) agus HTTP/2 gun chrioptachadh a’ faighinn taic. Leis na roghainnean iomchaidh, faodaidh aon phròiseas ainmichte a-nis a bhith a’ frithealadh chan e a-mhàin ceistean DNS traidiseanta, ach cuideachd ceistean a chuirear a’ cleachdadh DoH (DNS-over-HTTPS) agus DoT (DNS-over-TLS). Chan eil taic HTTPS air taobh an neach-dèiligidh (cladhach) air a chuir an gnìomh fhathast. Tha taic XFR-over-TLS ri fhaighinn airson iarrtasan a-steach agus a-mach.
Tha giullachd iarrtasan a’ cleachdadh DoH agus DoT air a chomasachadh le bhith a’ cur na roghainnean http agus tls ris an stiùireadh èisteachd. Gus taic a thoirt do DNS-over-HTTP gun chrioptachadh, bu chòir dhut “tls none” a shònrachadh anns na roghainnean. Tha iuchraichean air am mìneachadh anns an roinn "tls". Faodar na puirt lìonra bunaiteach 853 airson DoT, 443 airson DoH agus 80 airson DNS-over-HTTP a thoirt thairis tro na paramadairean tls-port, https-port agus http-port. Mar eisimpleir: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { puingean crìochnachaidh { "/ dns-query"; }; }; roghainnean { https-port 443; port èisteachd 443 tls local-tls http myserver {sam bith;}; }
Am measg feartan buileachadh DoH ann am BIND, tha amalachadh air a chomharrachadh mar chòmhdhail coitcheann, a dh’ fhaodar a chleachdadh chan ann a-mhàin gus iarrtasan teachdaiche a phròiseasadh chun an neach-rèiteachaidh, ach cuideachd nuair a bhios iad ag iomlaid dàta eadar frithealaichean, nuair a bhios iad a’ gluasad sònaichean le frithealaiche DNS ùghdarrasach, agus nuair a bhios tu a’ giullachd iarrtasan sam bith le taic bho chòmhdhail DNS eile.
Is e feart eile an comas gnìomhachd crioptachaidh airson TLS a ghluasad gu frithealaiche eile, a dh’ fhaodadh a bhith riatanach ann an suidheachaidhean far a bheil teisteanasan TLS air an stòradh air siostam eile (mar eisimpleir, ann am bun-structar le frithealaichean lìn) agus air an cumail suas le luchd-obrach eile. Tha taic airson DNS-over-HTTP neo-chrioptaichte air a chuir an gnìomh gus dì-bhugachadh a dhèanamh nas sìmplidhe agus mar shreath airson a chuir air adhart san lìonra a-staigh, air an stèidh sin faodar crioptachadh a chuir air dòigh air frithealaiche eile. Air frithealaiche iomallach, faodar nginx a chleachdadh gus trafaic TLS a ghineadh, coltach ri mar a tha ceangal HTTPS air a chuir air dòigh airson làraich-lìn.
Cuimhnich gum faod DNS-over-HTTPS a bhith feumail airson casg a chuir air aodion fiosrachaidh mu na h-ainmean aoigheachd a chaidh iarraidh tro na frithealaichean DNS de sholaraichean, cuir an-aghaidh ionnsaighean MITM agus spoofing trafaic DNS (mar eisimpleir, nuair a bhios tu a ’ceangal ri Wi-Fi poblach), a’ cur an aghaidh bacadh air aig ìre DNS (chan urrainn dha DNS-over-HTTPS VPN a chuir an àite ann a bhith a’ seachnadh bacadh air a chuir an gnìomh aig ìre DPI) no airson obair a chuir air dòigh nuair nach eil e comasach faighinn gu frithealaichean DNS gu dìreach (mar eisimpleir, nuair a bhios tu ag obair tro neach-ionaid). Ma tha iarrtasan DNS ann an suidheachadh àbhaisteach air an cur gu dìreach gu frithealaichean DNS a tha air am mìneachadh ann an rèiteachadh an t-siostaim, an uairsin a thaobh DNS-over-HTTPS tha an t-iarrtas airson seòladh IP an aoigh a dhearbhadh air a chuairteachadh ann an trafaic HTTPS agus air a chuir chun t-seirbheisiche HTTP, far a bheil bidh an neach-fuasglaidh a’ pròiseasadh iarrtasan tro Web API.
Tha “DNS over TLS” eadar-dhealaichte bho “DNS thairis air HTTPS” ann an cleachdadh a ’phròtacal DNS àbhaisteach (bidh port lìonra 853 air a chleachdadh mar as trice), air a phasgadh ann an seanal conaltraidh crioptaichte air a chuir air dòigh a’ cleachdadh protocol TLS le dearbhadh dligheachd aoigheachd tro theisteanasan TLS / SSL air an dearbhadh le ùghdarras teisteanais. Bidh an inbhe DNSSEC a th’ ann mar-thà a’ cleachdadh crioptachadh a-mhàin gus an teachdaiche agus an frithealaiche a dhearbhadh, ach chan eil e a’ dìon trafaic bho eadar-theachd agus chan eil e a’ gealltainn dìomhaireachd iarrtasan.
Source: fosgailtenet.ru