A BIND DNS-szerver fejlesztői bejelentették a DNS over HTTPS (DoH, DNS over HTTPS) és a DNS over TLS (DoT, DNS over TLS) technológiák hozzáadását, valamint az XFR-over-TLS mechanizmust a biztonság érdekében. DNS-zónák tartalmának átvitele a szerverek között. A DoH a 9.17-es kiadásban tesztelhető, a DoT-támogatás pedig a 9.17.10-es kiadás óta létezik. A stabilizálás után a DoT és a DoH támogatás visszakerül a stabil 9.17.7-os ágra.
A DoH-ban használt HTTP/2 protokoll megvalósítása az összeállítási függőségek között szereplő nghttp2 könyvtár használatán alapul (a jövőben a tervek szerint a könyvtár átkerül az opcionális függőségek körébe). A titkosított (TLS) és a titkosítatlan HTTP/2 kapcsolatok egyaránt támogatottak. A megfelelő beállításokkal egyetlen elnevezett folyamat már nem csak a hagyományos DNS-lekérdezéseket tudja kiszolgálni, hanem a DoH (DNS-over-HTTPS) és DoT (DNS-over-TLS) segítségével küldött lekérdezéseket is. Az ügyféloldali HTTPS-támogatás (dig) még nincs megvalósítva. Az XFR-over-TLS támogatás a bejövő és kimenő kérésekhez egyaránt elérhető.
A DoH és DoT használatával végzett kérések feldolgozása a http és tls opciók hozzáadásával engedélyezhető a figyelési direktívához. A titkosítatlan DNS-over-HTTP támogatásához adja meg a „tls none” értéket a beállításokban. A kulcsok a „tls” részben vannak meghatározva. Az alapértelmezett 853-as hálózati portok DoT-hez, 443-as DoH-hoz és 80-as DNS-over-HTTP-hez a tls-port, https-port és http-port paraméterekkel felülírhatók. Például: tls local-tls { key-file "/elérési út/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-szerver { végpontok { "/dns-lekérdezés"; }; }; options { https-port 443; figyelési port 443 tls local-tls http myserver {bármilyen;}; }
A BIND-ban a DoH implementáció jellemzői közül az integrációt, mint általános átvitelt jegyezzük meg, amely nem csak a kliens kérések feldolgozására használható a feloldó felé, hanem a szerverek közötti adatcserénél, zónák átvitelénél egy mérvadó DNS szerver által, ill. más DNS-szállítások által támogatott kérések feldolgozásakor.
Egy másik funkció a TLS titkosítási műveleteinek másik kiszolgálóra való áthelyezése, amelyre olyan körülmények között lehet szükség, amikor a TLS-tanúsítványokat egy másik rendszeren tárolják (például egy webszerverekkel rendelkező infrastruktúrában), és más személyzet karbantartja. A titkosítatlan DNS-over-HTTP támogatása a hibakeresés egyszerűsítésére és a belső hálózat továbbításának rétegeként valósul meg, amely alapján a titkosítás megszervezhető egy másik szerveren. Egy távoli szerveren az nginx használható TLS-forgalom generálására, hasonlóan ahhoz, ahogyan a HTTPS-kötés meg van szervezve a webhelyeken.
Emlékezzünk vissza, hogy a DNS-over-HTTPS hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárgásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), DNS-szintű blokkolás (DNS-over-HTTPS nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésével), vagy olyan munkaszervezéshez, amikor lehetetlen közvetlenül elérni a DNS-kiszolgálókat (például proxy-n keresztül végzett munka esetén). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DNS-over-HTTPS esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szervernek, ahol a feloldó a webes API-n keresztül dolgozza fel a kéréseket.
A „DNS over TLS” eltér a „DNS over HTTPS”-től a szabványos DNS-protokoll használatában (általában a 853-as hálózati portot használják), amely egy TLS-protokoll használatával szervezett titkosított kommunikációs csatornába van csomagolva, a gazdagép érvényességének ellenőrzése TLS/SSL-tanúsítványokon keresztül. tanúsító hatóság által. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
Forrás: opennet.ru