Programeri BIND DNS poslužitelja najavili su dodavanje poslužiteljske podrške za DNS preko HTTPS (DoH, DNS preko HTTPS) i DNS preko TLS (DoT, DNS preko TLS) tehnologija, kao i mehanizam XFR-over-TLS za sigurnu prijenos sadržaja DNS zona između poslužitelja. DoH je dostupan za testiranje u izdanju 9.17, a podrška za DoT prisutna je od izdanja 9.17.10. Nakon stabilizacije, podrška za DoT i DoH bit će vraćena u stabilnu granu 9.17.7.
Implementacija HTTP/2 protokola koji se koristi u DoH-u temelji se na korištenju biblioteke nghttp2, koja je uključena među zavisnosti sklopa (u budućnosti se biblioteka planira prebaciti u broj opcijskih zavisnosti). Podržane su i šifrirane (TLS) i nekriptirane HTTP/2 veze. S odgovarajućim postavkama, jedan imenovani proces sada može posluživati ne samo tradicionalne DNS upite, već i upite poslane koristeći DoH (DNS-over-HTTPS) i DoT (DNS-over-TLS). HTTPS podrška na strani klijenta (dig) još nije implementirana. Podrška za XFR-over-TLS dostupna je i za dolazne i za odlazne zahtjeve.
Obrada zahtjeva pomoću DoH i DoT omogućena je dodavanjem opcija http i tls u direktivu slušanja. Da biste podržali nekriptirani DNS-over-HTTP, trebali biste navesti "tls none" u postavkama. Ključevi su definirani u odjeljku "tls". Zadani mrežni priključci 853 za DoT, 443 za DoH i 80 za DNS-over-HTTP mogu se nadjačati pomoću parametara tls-port, https-port i http-port. Na primjer: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http lokalni-http-poslužitelj { krajnje točke { "/dns-upit"; }; }; opcije { https-port 443; priključak za slušanje 443 tls lokalni-tls http moj poslužitelj {bilo koji;}; }
Među značajkama implementacije DoH-a u BIND-u, integracija se navodi kao opći prijenos, koji se može koristiti ne samo za obradu zahtjeva klijenta prema rezolveru, već i pri razmjeni podataka između poslužitelja, pri prijenosu zona putem autoritativnog DNS poslužitelja i prilikom obrade zahtjeva koje podržavaju drugi DNS prijenosi.
Još jedna značajka je mogućnost premještanja operacija šifriranja za TLS na drugi poslužitelj, što može biti potrebno u uvjetima u kojima su TLS certifikati pohranjeni na drugom sustavu (na primjer, u infrastrukturi s web poslužiteljima) i održava ih drugo osoblje. Podrška za nekriptirani DNS-over-HTTP implementirana je radi pojednostavljenja otklanjanja pogrešaka i kao sloj za prosljeđivanje u internoj mreži, na temelju kojeg se može organizirati enkripcija na drugom poslužitelju. Na udaljenom poslužitelju, nginx se može koristiti za generiranje TLS prometa, slično kao što je HTTPS vezanje organizirano za web stranice.
Podsjetimo se da DNS-over-HTTPS može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranje na DNS razini (DNS-over-HTTPS ne može zamijeniti VPN u zaobilaženju blokiranja implementiranom na DPI razini) ili za organizaciju rada kada je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada se radi preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi izravno šalju DNS poslužiteljima definiranim u konfiguraciji sustava, tada se u slučaju DNS-over-HTTPS zahtjev za određivanje IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeve putem Web API-ja.
"DNS preko TLS-a" razlikuje se od "DNS-a preko HTTPS-a" u upotrebi standardnog DNS protokola (obično se koristi mrežni port 853), omotanog u šifrirani komunikacijski kanal organiziran korištenjem TLS protokola s provjerom valjanosti hosta putem certificiranih TLS/SSL certifikata od strane certifikacijskog tijela. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Izvor: opennet.ru