11 hónapos fejlesztés után az ISC konzorcium A BIND 9.16 DNS-kiszolgáló új jelentős ágának első stabil kiadása. A 9.16 ág támogatása három évig, 2 második negyedévéig, meghosszabbított támogatási ciklus keretében történik. A korábbi LTS-ág 2023 frissítései továbbra is megjelennek 9.11 decemberéig. A 2021-es ág támogatása három hónap múlva megszűnik.
A főbb :
- Hozzáadott KASP (Key and Signing Policy), a DNSSEC kulcsok és digitális aláírások kezelésének egyszerűsített módja, amely a „dnssec-policy” direktívával meghatározott szabályokon alapul. Ez a direktíva lehetővé teszi a DNS-zónákhoz szükséges új kulcsok generálásának, valamint a ZSK és KSK kulcsok automatikus alkalmazásának konfigurálását.
- A hálózati alrendszert jelentősen átalakították, és a könyvtáron alapuló aszinkron kérésfeldolgozási mechanizmusra váltották. .
Az átdolgozás még nem eredményezett látható változásokat, de a jövőbeli kiadásokban lehetőséget ad néhány jelentős teljesítményoptimalizálásra, valamint új protokollok támogatására, mint például a DNS over TLS. - Továbbfejlesztett folyamat a DNSSEC megbízható horgonyok (Trust horgony, egy zónához kötött nyilvános kulcs a zóna hitelességének ellenőrzésére) kezeléséhez. A már elavult megbízható kulcsok és felügyelt kulcsok beállításai helyett új megbízhatósági horgonyok direktívát javasoltak, amely lehetővé teszi mindkét kulcstípus kezelését.
Ha bizalmi horgonyokat használunk a kezdőkulcs kulcsszóval, akkor ennek az irányelvnek a viselkedése megegyezik a felügyelt kulcsokkal, azaz. definiálja a megbízhatósági horgony beállítását az RFC 5011-nek megfelelően. Ha megbízhatósági horgonyokat használ a static-key kulcsszóval, a viselkedés megfelel a trusted-keys direktívának, azaz. állandó kulcsot határoz meg, amely nem frissül automatikusan. A Trust-anchors két további kulcsszót is kínál, a kezdeti-ds-t és a static-d-t, amelyek lehetővé teszik a megbízható horgonyok használatát a következő formátumban: (Delegation Signer) a DNSKEY helyett, ami lehetővé teszi a még nem publikált kulcsok összerendeléseinek konfigurálását (az IANA szervezet a jövőben a DS formátumot tervezi használni az alapvető zónakulcsokhoz).
- A „+yaml” opció hozzáadásra került a dig, mdig és delv segédprogramokhoz a YAML formátumú kimenethez.
- A „+[no]unexpected” opció hozzáadásra került a dig segédprogramhoz, amely lehetővé teszi a válaszok fogadását a kérést elküldő szervertől eltérő gazdagépektől.
- A „+[no]expandaaaa” opció hozzáadva a dig segédprogramhoz, ami azt eredményezi, hogy az AAAA rekordokban lévő IPv6-címek teljes 128 bites megjelenítésben jelennek meg, nem pedig RFC 5952 formátumban.
- Hozzáadtuk a statisztikai csatornák csoportjai közötti váltás lehetőségét.
- A DS- és CDS-rekordok már csak az SHA-256 hash-ek alapján jönnek létre (az SHA-1-en alapuló generálás megszűnt).
- A DNS Cookie (RFC 7873) esetében az alapértelmezett algoritmus a SipHash 2-4, és a HMAC-SHA támogatása megszűnt (az AES megmarad).
- A dnssec-signzone és dnssec-verify parancsok kimenete most a szabványos kimenetre (STDOUT) kerül elküldésre, és csak a hibák és figyelmeztetések kerülnek kinyomtatásra az STDERR-re (a -f kapcsoló kiírja az aláírt zónát is). A "-q" opció hozzáadva a kimenet elnémításához.
- A DNSSEC érvényesítési kódját átdolgoztuk, hogy kiküszöböljük a kód más alrendszerekkel való megkettőzését.
- A statisztikák JSON formátumban való megjelenítéséhez mostantól csak a JSON-C könyvtár használható. A "--with-libjson" beállítási lehetőség át lett nevezve "--with-json-c"-re.
- A konfigurációs parancsfájl alapértelmezése már nem a "--sysconfdir" a /etc-ben és a "--localstatedir" a /var-ban, hacsak nincs megadva "--prefix". Az alapértelmezett elérési utak most a $prefix/etc és a $prefix/var, ahogy az Autoconfban is használatos.
- A BIND 9.12-ben elavult DLV (Domain Look-aside Verification, dnssec-lookaside opció) szolgáltatást megvalósító kódot és a kapcsolódó dlv.isc.org kezelőt 2017-ben letiltották. A DLV-k eltávolítása megszabadította a BIND kódot a szükségtelen bonyodalmaktól.
Forrás: opennet.ru