Devlopè sèvè BIND DNS yo te anonse ajoute sipò sèvè pou teknoloji DNS sou HTTPS (DoH, DNS sou HTTPS) ak teknoloji DNS sou TLS (DoT, DNS sou TLS), ansanm ak mekanis XFR-sou-TLS pou sekirite. transfere sa ki nan zòn dns ant sèvè yo. DoH disponib pou tès nan lage 9.17, ak sipò DoT te prezan depi lage 9.17.10. Apre estabilizasyon, sipò DoT ak DoH yo pral backported nan branch 9.17.7 ki estab.
Aplikasyon pwotokòl HTTP/2 yo itilize nan DoH baze sou itilizasyon bibliyotèk nghttp2, ki enkli nan mitan depandans asanble yo (nan fiti, bibliyotèk la planifye pou transfere nan kantite depandans si ou vle). Koneksyon HTTP/2 ankode (TLS) ak non ankode yo sipòte. Avèk paramèt ki apwopriye yo, yon sèl pwosesis nonmen kapab kounye a sèvi non sèlman demann DNS tradisyonèl yo, men tou demann yo voye lè l sèvi avèk DoH (DNS-over-HTTPS) ak DoT (DNS-over-TLS). Sipò HTTPS sou bò kliyan an (fouye) poko aplike. Sipò XFR-over-TLS disponib pou demann antre ak soti.
Pwosesis demann lè l sèvi avèk DoH ak DoT pèmèt lè w ajoute opsyon http ak tls nan direktiv koute. Pou sipòte DNS-sou-HTTP ki pa chiffres, ou ta dwe presize "tls none" nan paramèt yo. Kle yo defini nan seksyon "tls". Pò yo rezo default 853 pou DoT, 443 pou DoH ak 80 pou DNS-sou-HTTP ka pase sou tèt yo atravè paramèt tls-port, https-port ak http-port. Pa egzanp: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsyon { https-pò 443; koute pò 443 tls lokal-tls http myserver {nenpòt;}; }
Pami karakteristik aplikasyon DoH nan BIND, entegrasyon yo note kòm yon transpò jeneral, ki ka itilize pa sèlman pou trete demann kliyan yo bay rezolisyon an, men tou lè yo fè echanj done ant sèvè yo, lè yo transfere zòn pa yon sèvè DNS otorite, ak lè w ap trete nenpòt demann ki sipòte pa lòt transpò DNS.
Yon lòt karakteristik se kapasite pou deplase operasyon chifreman pou TLS nan yon lòt sèvè, ki ka nesesè nan kondisyon kote sètifika TLS yo estoke sou yon lòt sistèm (pa egzanp, nan yon enfrastrikti ak sèvè entènèt) epi kenbe pa lòt pèsonèl. Sipò pou DNS-sou-HTTP ki pa chiffres aplike pou senplifye debogaj ak kòm yon kouch pou voye nan rezo entèn la, sou baz ki chifreman ka òganize sou yon lòt sèvè. Sou yon sèvè aleka, nginx ka itilize pou jenere trafik TLS, menm jan ak fason HTTPS obligatwa òganize pou sit entènèt.
Se pou nou sonje ke DNS-sou-HTTPS ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak spoofing DNS trafik (pa egzanp, lè w konekte ak Wi-Fi piblik), kontrekare. bloke sou nivo DNS (DNS-over-HTTPS pa ka ranplase yon VPN nan kontourne bloke aplike nan nivo DPI) oswa pou òganize travay lè li enposib aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon proxy). Si nan yon sitiyasyon nòmal demann DNS yo voye dirèkteman nan sèvè dns ki defini nan konfigirasyon sistèm lan, Lè sa a, nan ka DNS-sou-HTTPS demann lan pou detèmine adrès IP lame a encapsulé nan trafik HTTPS epi voye bay sèvè HTTP a, kote. rezolisyon an trete demann atravè API Web.
"DNS sou TLS" diferan de "DNS sou HTTPS" nan itilizasyon pwotokòl DNS estanda (anjeneral yo itilize pò rezo 853), ki vlope nan yon kanal kominikasyon chiffres ki òganize lè l sèvi avèk pwotokòl TLS la ak tcheke validite lame atravè sètifika TLS/SSL sètifye. pa yon otorite sètifikasyon. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Sous: opennet.ru