DNS-over-HTTPS के लिए प्रायोगिक समर्थन BIND DNS सर्वर में जोड़ा गया है

BIND DNS सर्वर के डेवलपर्स ने HTTPS पर DNS (DoH, HTTPS पर DNS) और TLS पर DNS (DoT, TLS पर DNS) तकनीकों के साथ-साथ सुरक्षित के लिए XFR-ओवर-TLS तंत्र के लिए सर्वर समर्थन जोड़ने की घोषणा की। सर्वरों के बीच DNS ज़ोन की सामग्री को स्थानांतरित करना। DoH रिलीज़ 9.17 में परीक्षण के लिए उपलब्ध है, और DoT समर्थन रिलीज़ 9.17.10 से मौजूद है। स्थिरीकरण के बाद, DoT और DoH समर्थन को स्थिर 9.17.7 शाखा में वापस भेज दिया जाएगा।

DoH में प्रयुक्त HTTP/2 प्रोटोकॉल का कार्यान्वयन nghttp2 लाइब्रेरी के उपयोग पर आधारित है, जो असेंबली निर्भरताओं में शामिल है (भविष्य में, लाइब्रेरी को वैकल्पिक निर्भरताओं की संख्या में स्थानांतरित करने की योजना है)। एन्क्रिप्टेड (TLS) और अनएन्क्रिप्टेड HTTP/2 कनेक्शन दोनों समर्थित हैं। उपयुक्त सेटिंग्स के साथ, एक एकल नामित प्रक्रिया अब न केवल पारंपरिक DNS क्वेरीज़, बल्कि DoH (DNS-over-HTTPS) और DoT (DNS-over-TLS) का उपयोग करके भेजी गई क्वेरीज़ भी प्रदान कर सकती है। क्लाइंट साइड (डिग) पर HTTPS समर्थन अभी तक लागू नहीं किया गया है। एक्सएफआर-ओवर-टीएलएस समर्थन इनबाउंड और आउटबाउंड दोनों अनुरोधों के लिए उपलब्ध है।

DoH और DoT का उपयोग करके अनुरोध प्रसंस्करण को सुनने-पर निर्देश में http और tls विकल्प जोड़कर सक्षम किया गया है। अनएन्क्रिप्टेड DNS-ओवर-HTTP का समर्थन करने के लिए, आपको सेटिंग्स में "tls none" निर्दिष्ट करना चाहिए। कुंजियाँ "टीएलएस" अनुभाग में परिभाषित की गई हैं। DoT के लिए डिफ़ॉल्ट नेटवर्क पोर्ट 853, DoH के लिए 443 और DNS-over-HTTP के लिए 80 को tls-port, https-port और http-port पैरामीटर के माध्यम से ओवरराइड किया जा सकता है। उदाहरण के लिए: tls local-tls { key-file "/path/to/priv_key.pem"; सर्टिफिकेट-फ़ाइल "/path/to/cert_चेन.pem"; }; http स्थानीय-http-सर्वर { समापन बिंदु { "/dns-query"; }; }; विकल्प { https-पोर्ट 443; लिसन-ऑन पोर्ट 443 टीएलएस लोकल-टीएलएस http मायसर्वर {कोई भी;}; }

BIND में DoH कार्यान्वयन की विशेषताओं में, एकीकरण को एक सामान्य परिवहन के रूप में जाना जाता है, जिसका उपयोग न केवल रिज़ॉल्वर के लिए क्लाइंट अनुरोधों को संसाधित करने के लिए किया जा सकता है, बल्कि सर्वर के बीच डेटा का आदान-प्रदान करते समय, एक आधिकारिक DNS सर्वर द्वारा ज़ोन स्थानांतरित करते समय भी किया जा सकता है, और अन्य DNS ट्रांसपोर्ट द्वारा समर्थित किसी भी अनुरोध को संसाधित करते समय।

एक अन्य विशेषता टीएलएस के लिए एन्क्रिप्शन संचालन को दूसरे सर्वर पर स्थानांतरित करने की क्षमता है, जो उन स्थितियों में आवश्यक हो सकती है जहां टीएलएस प्रमाणपत्र किसी अन्य सिस्टम पर संग्रहीत होते हैं (उदाहरण के लिए, वेब सर्वर के साथ बुनियादी ढांचे में) और अन्य कर्मियों द्वारा बनाए रखा जाता है। डिबगिंग को सरल बनाने और आंतरिक नेटवर्क में अग्रेषित करने के लिए एक परत के रूप में अनएन्क्रिप्टेड डीएनएस-ओवर-HTTP के लिए समर्थन लागू किया गया है, जिसके आधार पर एन्क्रिप्शन को दूसरे सर्वर पर व्यवस्थित किया जा सकता है। किसी दूरस्थ सर्वर पर, nginx का उपयोग TLS ट्रैफ़िक उत्पन्न करने के लिए किया जा सकता है, ठीक उसी तरह जैसे वेबसाइटों के लिए HTTPS बाइंडिंग को व्यवस्थित किया जाता है।

आइए याद रखें कि DNS-ओवर-HTTPS प्रदाताओं के DNS सर्वर के माध्यम से अनुरोधित होस्ट नामों के बारे में जानकारी के लीक को रोकने, MITM हमलों और DNS ट्रैफ़िक स्पूफिंग (उदाहरण के लिए, सार्वजनिक वाई-फाई से कनेक्ट होने पर) का मुकाबला करने के लिए उपयोगी हो सकता है। डीएनएस स्तर पर ब्लॉक करना (डीपीआई स्तर पर कार्यान्वित ब्लॉकिंग को बायपास करने में डीएनएस-ओवर-एचटीटीपीएस वीपीएन को प्रतिस्थापित नहीं कर सकता है) या काम को व्यवस्थित करने के लिए जब डीएनएस सर्वर तक सीधे पहुंच असंभव हो (उदाहरण के लिए, प्रॉक्सी के माध्यम से काम करते समय)। यदि सामान्य स्थिति में DNS अनुरोध सीधे सिस्टम कॉन्फ़िगरेशन में परिभाषित DNS सर्वर पर भेजे जाते हैं, तो DNS-ओवर-HTTPS के मामले में होस्ट IP पता निर्धारित करने का अनुरोध HTTPS ट्रैफ़िक में समाहित किया जाता है और HTTP सर्वर पर भेजा जाता है, जहां रिज़ॉल्वर वेब एपीआई के माध्यम से अनुरोधों को संसाधित करता है।

मानक DNS प्रोटोकॉल (आमतौर पर नेटवर्क पोर्ट 853 का उपयोग किया जाता है) के उपयोग में "टीएलएस पर डीएनएस" "एचटीटीपीएस पर डीएनएस" से भिन्न होता है, जो प्रमाणित टीएलएस/एसएसएल प्रमाणपत्रों के माध्यम से होस्ट वैधता जांच के साथ टीएलएस प्रोटोकॉल का उपयोग करके आयोजित एक एन्क्रिप्टेड संचार चैनल में लपेटा जाता है। प्रमाणन प्राधिकारी द्वारा. मौजूदा DNSSEC मानक केवल क्लाइंट और सर्वर को प्रमाणित करने के लिए एन्क्रिप्शन का उपयोग करता है, लेकिन ट्रैफ़िक को अवरोध से नहीं बचाता है और अनुरोधों की गोपनीयता की गारंटी नहीं देता है।

स्रोत: opennet.ru