ProHoster > Blog > internetske vijesti > Objavljen BIND DNS poslužitelj 9.16.0

Objavljen BIND DNS poslužitelj 9.16.0

Nakon 11 mjeseci razvoja, konzorcij ISC podnijeti Prvo stabilno izdanje nove značajne grane BIND 9.16 DNS poslužitelja. Podrška za granu 9.16 pružat će se tri godine do 2. kvartala 2023. kao dio produženog ciklusa podrške. Ažuriranja za prethodnu LTS granu 9.11 nastavit će se objavljivati ​​do prosinca 2021. Podrška za granu 9.14 prestaje za tri mjeseca.

Glavni inovacije:

  • Dodan KASP (Key and Signing Policy), pojednostavljeni način za upravljanje DNSSEC ključevima i digitalnim potpisima, temeljen na postavljanju pravila definiranih pomoću direktive "dnssec-policy". Ova vam direktiva omogućuje konfiguriranje generiranja potrebnih novih ključeva za DNS zone i automatsku primjenu ZSK i KSK ključeva.
  • Mrežni podsustav značajno je redizajniran i prebačen na asinkroni mehanizam obrade zahtjeva implementiran na temelju knjižnice libuv.
    Prerada još nije rezultirala vidljivim promjenama, ali će u budućim izdanjima pružiti priliku za implementaciju nekih značajnih optimizacija performansi i dodavanje podrške za nove protokole kao što je DNS preko TLS-a.

  • Poboljšan postupak za upravljanje DNSSEC pouzdanim sidrima (sidro povjerenja, javni ključ povezan sa zonom za provjeru autentičnosti ove zone). Umjesto postavki pouzdanih ključeva i upravljanih ključeva, koje su sada zastarjele, predložena je nova direktiva o pouzdanim sidrima koja vam omogućuje upravljanje obje vrste ključeva.

    Kada se koriste pouzdana sidra s ključnom riječi početni ključ, ponašanje ove direktive je identično upravljanim ključevima, tj. definira postavku pouzdanog sidra u skladu s RFC 5011. Kada se koriste pouzdana sidra s ključnom riječi static-key, ponašanje odgovara direktivi pouzdanih ključeva, tj. definira trajni ključ koji se ne ažurira automatski. Trust-anchors također nudi još dvije ključne riječi, initial-ds i static-ds, koje vam omogućuju korištenje pouzdanih sidara u formatu DS (Delegation Signer) umjesto DNSKEY, što omogućuje konfiguriranje povezivanja za ključeve koji još nisu objavljeni (organizacija IANA planira koristiti DS format za ključeve jezgre zone u budućnosti).

  • Opcija “+yaml” dodana je uslužnim programima dig, mdig i delv za ispis u YAML formatu.
  • Opcija "+ [ne]neočekivano" dodana je uslužnom programu dig, dopuštajući primanje odgovora od drugih hostova osim poslužitelja na koji je zahtjev poslan.
  • Dodana je opcija "+[no]expandaaaa" uslužnom programu za kopanje, što uzrokuje da se IPv6 adrese u AAAA zapisima prikazuju u punom 128-bitnom prikazu, umjesto u RFC 5952 formatu.
  • Dodana je mogućnost promjene grupa statističkih kanala.
  • DS i CDS zapisi sada se generiraju samo na temelju SHA-256 hashova (generiranje na temelju SHA-1 je prekinuto).
  • Za DNS kolačić (RFC 7873), zadani algoritam je SipHash 2-4, a podrška za HMAC-SHA je ukinuta (AES je zadržan).
  • Izlaz naredbi dnssec-signzone i dnssec-verify sada se šalje na standardni izlaz (STDOUT), a samo se greške i upozorenja ispisuju u STDERR (opcija -f također ispisuje potpisanu zonu). Dodana je opcija "-q" za isključivanje zvuka.
  • DNSSEC kod za provjeru valjanosti prerađen je kako bi se uklonilo dupliranje koda s drugim podsustavima.
  • Za prikaz statistike u JSON formatu sada se može koristiti samo biblioteka JSON-C. Konfiguracijska opcija "--with-libjson" preimenovana je u "--with-json-c".
  • Konfiguracijska skripta više nema zadane vrijednosti "--sysconfdir" u /etc i "--localstatedir" u /var osim ako nije navedeno "--prefix". Zadane staze sada su $prefix/etc i $prefix/var, kao što se koristi u Autoconfu.
  • Uklonjen je kod koji implementira uslugu DLV (Domain Look-aside Verification, opcija dnssec-lookaside), koja je zastarjela u BIND 9.12, a pridruženi rukovatelj dlv.isc.org onemogućen je 2017. Uklanjanje DLV-ova oslobodilo je BIND kod od nepotrebnih komplikacija.

Izvor: opennet.ru

Dodajte komentar