Ua hoʻolaha nā mea hoʻomohala o ka BIND DNS server i ka hoʻohui ʻana i ke kākoʻo kikowaena no ka DNS ma luna o HTTPS (DoH, DNS ma luna o HTTPS) a me DNS ma luna o nā ʻenehana TLS (DoT, DNS ma luna o TLS), a me ka mīkini XFR-over-TLS no ka palekana. ka hoʻoili ʻana i nā ʻike o nā wahi DNS ma waena o nā kikowaena. Loaʻa ka DoH no ka hoʻāʻo ʻana ma ka hoʻokuʻu ʻana 9.17, a ua loaʻa ke kākoʻo DoT mai ka hoʻokuʻu ʻana 9.17.10. Ma hope o ka hoʻopaʻa ʻana, e hoʻihoʻi ʻia ke kākoʻo DoT a me DoH i ka lālā paʻa 9.17.7.
ʻO ka hoʻokō ʻana i ka protocol HTTP/2 i hoʻohana ʻia ma DoH e pili ana i ka hoʻohana ʻana i ka waihona nghttp2, i hoʻokomo ʻia i waena o nā hilinaʻi hui (i ka wā e hiki mai ana, ua hoʻolālā ʻia ka waihona e hoʻololi i ka helu o nā hilinaʻi koho). Kākoʻo ʻia nā pilina ʻelua i hoʻopili ʻia (TLS) a me HTTP/2 ʻole. Me nā hoʻonohonoho kūpono, hiki i kahi kaʻina hana i kapa ʻia ke lawelawe i nā nīnau DNS kuʻuna wale nō, akā i nā nīnau i hoʻouna ʻia me DoH (DNS-over-HTTPS) a me DoT (DNS-over-TLS). ʻAʻole i hoʻokō ʻia ke kākoʻo HTTPS ma ka ʻaoʻao o ka mea kūʻai aku (eli). Loaʻa ke kākoʻo XFR-over-TLS no nā noi komo a i waho.
Hoʻohana ʻia ka hana noi me DoH a me DoT ma ka hoʻohui ʻana i nā koho http a me tls i ke kuhikuhi hoʻolohe. No ke kākoʻo ʻole ʻana i DNS-over-HTTP, pono ʻoe e kuhikuhi i ka "tls none" i nā hoʻonohonoho. Ua wehewehe ʻia nā kī ma ka ʻāpana "tls". Hiki ke hoʻopau ʻia nā awa pūnaewele paʻamau 853 no DoT, 443 no DoH a me 80 no DNS-over-HTTP ma o nā ʻāpana tls-port, https-port a me http-port. No ka laʻana: tls local-tls { key-file "/path/to/priv_key.pem"; palapala hōʻoia "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; nā koho { https-port 443; listen-on port 443 tls local-tls http myserver {kekahi;}; }
Ma waena o nā hiʻohiʻona o ka hoʻokō DoH ma BIND, ʻike ʻia ka hoʻohui ʻana ma ke ʻano he kaʻa maʻamau, hiki ke hoʻohana ʻia ʻaʻole wale no ka hoʻoponopono ʻana i nā noi a ka mea kūʻai aku i ka mea hoʻoholo, akā i ka wā e hoʻololi ai i ka ʻikepili ma waena o nā kikowaena, i ka wā e hoʻololi ai i nā ʻāpana e kahi kikowaena DNS mana, a i ka wā e hoʻoponopono ai i nā noi i kākoʻo ʻia e nā halihali DNS ʻē aʻe.
ʻO kekahi hiʻohiʻona ka hiki ke hoʻoneʻe i nā hana hoʻopunipuni no TLS i kahi kikowaena ʻē aʻe, pono paha i nā kūlana kahi e mālama ʻia ai nā palapala hōʻoia TLS ma kahi ʻōnaehana ʻē aʻe (e laʻa, i loko o kahi ʻenehana me nā kikowaena pūnaewele) a mālama ʻia e nā limahana ʻē aʻe. Hoʻokomo ʻia ke kākoʻo no ka DNS-over-HTTP i hoʻopili ʻole ʻia e hoʻomaʻamaʻa i ka debugging a ma ke ʻano he papa no ka hoʻouna ʻana i loko o ka pūnaewele kūloko, ma ke kumu o ka hoʻopili ʻana i hiki ke hoʻonohonoho ʻia ma kahi kikowaena ʻē aʻe. Ma kahi kikowaena mamao, hiki ke hoʻohana ʻia ka nginx e hoʻohua i ke kaʻa TLS, e like me ka hoʻonohonoho ʻana o ka paʻa ʻana o HTTPS no nā pūnaewele.
E hoʻomanaʻo kākou e hiki ke hoʻohana pono ʻia ka DNS-over-HTTPS no ka pale ʻana i ka ʻike e pili ana i nā inoa host i noi ʻia ma o nā kikowaena DNS o nā mea hoʻolako, ka hakakā ʻana i nā hoʻouka kaua MITM a me ka spoofing DNS traffic (no ka laʻana, i ka wā e pili ana i ka Wi-Fi lehulehu), countering ka pale ʻana ma ka pae DNS (ʻaʻole hiki i DNS-over-HTTPS ke hoʻololi i kahi VPN ma ke kāpae ʻana i ka pale ʻana i hoʻokō ʻia ma ka pae DPI) a i ʻole no ka hoʻonohonoho ʻana i ka hana inā hiki ʻole ke komo pololei i nā kikowaena DNS (no ka laʻana, i ka wā e hana ana ma o kahi koho). Inā ma kahi kūlana maʻamau e hoʻouna pololei ʻia nā noi DNS i nā kikowaena DNS i wehewehe ʻia i ka hoʻonohonoho ʻōnaehana, a laila ma ka hihia o DNS-over-HTTPS ka noi e hoʻoholo ai i ka host IP address ua encapsulated ma HTTPS traffic a hoʻouna ʻia i ka server HTTP, kahi. ke noi aku nei ka mea hoʻoholo ma o API Web.
ʻOkoʻa ka "DNS ma luna o TLS" mai ka "DNS ma luna o HTTPS" i ka hoʻohana ʻana i ka protocol DNS maʻamau (ua hoʻohana maʻamau ʻia ka port network 853), i kāʻei ʻia i kahi kaila kamaʻilio i hoʻopili ʻia i hoʻonohonoho ʻia me ka protocol TLS me ka nānā pono ʻana o ka host ma o nā palapala hōʻoia TLS/SSL. e ka mana hōʻoia. Ke hoʻohana nei ka maʻamau DNSSEC i kēia manawa i ka hoʻopunipuni e hōʻoia i ka mea kūʻai aku a me ka server, akā ʻaʻole ia e pale i ke kaʻa mai ka interception a ʻaʻole e hōʻoiaʻiʻo i ka hūnā o nā noi.
Source: opennet.ru