BIND DNS սերվերի մշակողները հայտարարել են սերվերի աջակցության ավելացման մասին DNS-ի վրա HTTPS (DoH, DNS over HTTPS) և DNS over TLS (DoT, DNS over TLS) տեխնոլոգիաների, ինչպես նաև XFR-over-TLS մեխանիզմի ապահովման մասին: DNS գոտիների բովանդակության փոխանցում սերվերների միջև: DoH հասանելի է փորձարկման համար 9.17 թողարկումում, իսկ DoT աջակցությունը առկա է 9.17.10 թողարկումից հետո: Կայունացումից հետո DoT և DoH աջակցությունը կփոխանցվի կայուն 9.17.7 մասնաճյուղ:
DoH-ում օգտագործվող HTTP/2 արձանագրության իրականացումը հիմնված է nghttp2 գրադարանի օգտագործման վրա, որն ընդգրկված է հավաքման կախվածությունների շարքում (ապագայում նախատեսվում է գրադարանը տեղափոխել ընտրովի կախվածությունների թվին): Աջակցվում են ինչպես գաղտնագրված (TLS), այնպես էլ չգաղտնագրված HTTP/2 կապեր: Համապատասխան կարգավորումների դեպքում մեկ անունով գործընթացն այժմ կարող է ծառայել ոչ միայն ավանդական DNS հարցումներին, այլև հարցումներին, որոնք ուղարկվում են DoH (DNS-over-HTTPS) և DoT (DNS-over-TLS) օգտագործմամբ: HTTPS-ի աջակցությունը հաճախորդի կողմից (փորել) դեռ չի իրականացվում: XFR-over-TLS աջակցությունը հասանելի է ինչպես մուտքային, այնպես էլ ելքային հարցումների համար:
DoH-ի և DoT-ի միջոցով հարցումների մշակումը միացված է՝ ավելացնելով http և tls տարբերակները լսելու հրահանգին: Չկոդավորված DNS-over-HTTP-ն աջակցելու համար կարգավորումներում պետք է նշեք «tls none»: Բանալիները սահմանվում են «tls» բաժնում: Լռելյայն ցանցի 853 նավահանգիստները DoT-ի համար, 443-ը՝ DoH-ի և 80-ը՝ DNS-over-HTTP-ի համար, կարող են վերացվել tls-port, https-port և http-port պարամետրերի միջոցով: Օրինակ՝ tls local-tls { key-file "/path/to/priv_key.pem"; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { "/dns-query"; }; }; ընտրանքներ { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }
BIND-ում DoH ներդրման առանձնահատկություններից ինտեգրումը նշվում է որպես ընդհանուր տրանսպորտ, որը կարող է օգտագործվել ոչ միայն հաճախորդի հարցումները լուծողին մշակելու համար, այլև սերվերների միջև տվյալների փոխանակման ժամանակ, հեղինակավոր DNS սերվերի կողմից գոտիներ փոխանցելիս և այլ DNS տրանսպորտով աջակցվող ցանկացած հարցում մշակելիս:
Մեկ այլ առանձնահատկություն է TLS-ի համար գաղտնագրման գործողությունները մեկ այլ սերվեր տեղափոխելու հնարավորությունը, որը կարող է անհրաժեշտ լինել այն պայմաններում, երբ TLS վկայականները պահվում են այլ համակարգում (օրինակ՝ վեբ սերվերներով ենթակառուցվածքում) և պահպանվում են այլ անձնակազմի կողմից: Չկոդավորված DNS-over-HTTP-ի աջակցությունն իրականացվում է վրիպազերծումը պարզեցնելու և որպես ներքին ցանցում փոխանցման շերտ, որի հիման վրա գաղտնագրումը կարող է կազմակերպվել մեկ այլ սերվերի վրա: Հեռավոր սերվերի վրա nginx-ը կարող է օգտագործվել TLS տրաֆիկ ստեղծելու համար, ինչպես որ HTTPS կապը կազմակերպվում է կայքերի համար:
Հիշենք, որ DNS-over-HTTPS-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ (օրինակ՝ հանրային Wi-Fi-ին միանալիս), հակազդելու համար։ արգելափակում DNS մակարդակում (DNS-over-HTTPS-ը չի կարող փոխարինել VPN-ին DPI մակարդակում իրականացվող արգելափակումը շրջանցելով) կամ աշխատանքի կազմակերպման համար, երբ անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ՝ վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DNS-over-HTTPS-ի դեպքում հյուրընկալող IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ Լուծիչը հարցումները մշակում է Web API-ի միջոցով:
«DNS-ը TLS-ով» տարբերվում է «DNS-ից՝ HTTPS-ից» ստանդարտ DNS արձանագրության կիրառմամբ (սովորաբար օգտագործվում է ցանցային պորտը 853), որը փաթաթված է գաղտնագրված կապի ալիքով, որը կազմակերպվել է TLS արձանագրության միջոցով՝ հոսթի վավերականության ստուգմամբ՝ վավերացված TLS/SSL վկայագրերի միջոցով: սերտիֆիկացման մարմնի կողմից: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
Source: opennet.ru