Despois de 11 meses de desenvolvemento, o consorcio ISC A primeira versión estable dunha nova rama significativa do servidor DNS BIND 9.16. O apoio á rama 9.16 prestarase durante tres anos ata o segundo trimestre de 2 como parte dun ciclo de apoio estendido. As actualizacións da rama anterior de LTS 2023 seguirán lanzando ata decembro de 9.11. O soporte para a rama 2021 rematará en tres meses.
O principal :
- Engadiuse KASP (Key and Signing Policy), unha forma simplificada de xestionar claves DNSSEC e sinaturas dixitais, baseada na definición de regras definidas mediante a directiva "dnssec-policy". Esta directiva permítelle configurar a xeración das novas claves necesarias para as zonas DNS e a aplicación automática das claves ZSK e KSK.
- O subsistema de rede redeseñouse significativamente e cambiouse a un mecanismo de procesamento de solicitudes asíncrono implementado baseado na biblioteca .
A reelaboración aínda non deu lugar a cambios visibles, pero en futuras versións ofrecerá a oportunidade de implementar algunhas optimizacións de rendemento significativas e engadir compatibilidade con novos protocolos como DNS sobre TLS. - Proceso mellorado para xestionar áncoras de confianza DNSSEC (áncora de confianza, unha clave pública vinculada a unha zona para verificar a autenticidade desta zona). En lugar das configuracións de claves de confianza e claves xestionadas, que agora están en desuso, propúxose unha nova directiva de áncoras de confianza que che permite xestionar ambos tipos de chaves.
Cando se usan áncoras de confianza coa palabra clave inicial-key, o comportamento desta directiva é idéntico ao das claves xestionadas, é dicir. define a configuración de áncora de confianza de acordo co RFC 5011. Cando se usan áncoras de confianza coa palabra clave static-key, o comportamento corresponde á directiva trusted-keys, é dicir. define unha clave persistente que non se actualiza automaticamente. Trust-anchors tamén ofrece dúas palabras clave máis, initial-ds e static-ds, que che permiten usar áncoras de confianza no formato (Delegation Signer) en lugar de DNSKEY, o que permite configurar enlaces para claves que aínda non foron publicadas (a organización IANA planea utilizar o formato DS para as claves da zona central no futuro).
- A opción "+yaml" engadiuse ás utilidades dig, mdig e delv para a saída en formato YAML.
- A opción "+[non]inesperado" engadiuse á utilidade dig, que permite a recepción de respostas de servidores distintos do servidor ao que se enviou a solicitude.
- Engadiuse a opción "+[non]expandaaaa" para a utilidade de excavación, que fai que os enderezos IPv6 dos rexistros AAAA se mostren en representación completa de 128 bits, en lugar de no formato RFC 5952.
- Engadida a posibilidade de cambiar grupos de canles de estatísticas.
- Agora os rexistros DS e CDS xéranse só en base a hash SHA-256 (a xeración baseada en SHA-1 foi descontinuada).
- Para a cookie DNS (RFC 7873), o algoritmo predeterminado é SipHash 2-4 e o soporte para HMAC-SHA descontinuouse (consérvase AES).
- A saída dos comandos dnssec-signzone e dnssec-verify agora envíase á saída estándar (STDOUT), e só os erros e avisos se imprimen en STDERR (a opción -f tamén imprime a zona asinada). Engadiuse a opción "-q" para silenciar a saída.
- O código de validación DNSSEC foi reelaborado para eliminar a duplicación de código con outros subsistemas.
- Para mostrar estatísticas en formato JSON, agora só se pode usar a biblioteca JSON-C. A opción de configuración "--with-libjson" foi renomeada a "--with-json-c".
- O script de configuración xa non é por defecto "--sysconfdir" en /etc e "--localstatedir" en /var a non ser que se especifique "--prefix". Os camiños predeterminados agora son $prefix/etc e $prefix/var, como se usa en Autoconf.
- Eliminouse o código que implementaba o servizo DLV (Domain Look-aside Verification, opción dnssec-lookaside), que estaba obsoleto en BIND 9.12, e o controlador dlv.isc.org asociado desactivouse en 2017. A eliminación dos DLV liberou o código BIND de complicacións innecesarias.
Fonte: opennet.ru