11 ամիս զարգացումից հետո ISC կոնսորցիումը BIND 9.16 DNS սերվերի նոր նշանակալի մասնաճյուղի առաջին կայուն թողարկումը: 9.16 մասնաճյուղի համար աջակցություն կտրամադրվի երեք տարով՝ մինչև 2 թվականի 2023-րդ եռամսյակը՝ որպես ընդլայնված աջակցության ցիկլի մաս: Նախորդ LTS մասնաճյուղի 9.11-ի թարմացումները կշարունակվեն թողարկվել մինչև 2021 թվականի դեկտեմբեր: 9.14 մասնաճյուղի աջակցությունը կավարտվի երեք ամսից:
Հիմնական :
- Ավելացվեց KASP (Բանալիների և ստորագրման քաղաքականություն)՝ DNSSEC ստեղների և թվային ստորագրությունների կառավարման պարզեցված միջոց՝ հիմնված «dnssec-policy» հրահանգի միջոցով սահմանված կանոնների վրա: Այս հրահանգը թույլ է տալիս կարգավորել DNS գոտիների համար անհրաժեշտ նոր բանալիների ստեղծումը և ZSK և KSK ստեղների ավտոմատ կիրառումը:
- Ցանցի ենթահամակարգը զգալիորեն վերանախագծվել է և անցել գրադարանի հիման վրա իրականացվող հարցումների մշակման ասինխրոն մեխանիզմի .
Վերամշակումը դեռևս որևէ տեսանելի փոփոխության չի հանգեցրել, բայց ապագա թողարկումներում այն հնարավորություն կտա իրականացնել որոշ նշանակալի կատարողականի օպտիմալացում և ավելացնել աջակցություն նոր արձանագրությունների համար, ինչպիսիք են DNS-ը TLS-ի միջոցով: - DNSSEC վստահության խարիսխների կառավարման բարելավված գործընթացը (Trust anchor, հրապարակային բանալին, որը կապված է գոտու հետ՝ ստուգելու այս գոտու իսկությունը): Վստահելի բանալիների և կառավարվող ստեղների կարգավորումների փոխարեն, որոնք այժմ հնացած են, առաջարկվել է վստահության խարիսխների նոր հրահանգ, որը թույլ է տալիս կառավարել երկու տեսակի ստեղները:
Նախնական բանալի բառով վստահության խարիսխներ օգտագործելիս այս հրահանգի վարքագիծը նույնական է կառավարվող բանալիների հետ, այսինքն. սահմանում է վստահության խարիսխի կարգավորումը RFC 5011-ի համաձայն: Ստատիկ բանալի բառով վստահության խարիսխներ օգտագործելիս վարքագիծը համապատասխանում է վստահելի բանալիների հրահանգին, այսինքն. սահմանում է մշտական բանալի, որը ավտոմատ կերպով չի թարմացվում: Trust-anchors-ը նաև առաջարկում է ևս երկու հիմնաբառեր՝ initial-ds և static-ds, որոնք թույլ են տալիս օգտագործել վստահության խարիսխները ձևաչափով: (Delegation Signer) DNSKEY-ի փոխարեն, ինչը հնարավորություն է տալիս կարգավորել կապերը դեռևս չհրապարակված բանալիների համար (IANA կազմակերպությունը նախատեսում է ապագայում օգտագործել DS ձևաչափը հիմնական գոտու բանալիների համար):
- «+yaml» տարբերակը ավելացվել է dig, mdig և delv կոմունալ ծառայություններում՝ YAML ձևաչափով ելքի համար:
- «+[ոչ]անսպասելի» տարբերակը ավելացվել է dig utility-ում, որը թույլ է տալիս ստանալ պատասխաններ այլ հյուրընկալողներից, բացի սերվերից, որին ուղարկվել է հարցումը:
- Ավելացվեց «+[no]expandaaaa» տարբերակը փորելու համար, ինչը հանգեցնում է նրան, որ IPv6 հասցեները AAAA գրառումներում ցուցադրվում են ամբողջական 128-բիթանոց ներկայացմամբ, այլ ոչ թե RFC 5952 ձևաչափով:
- Ավելացվեց վիճակագրության ալիքների խմբերը փոխելու հնարավորություն:
- DS և CDS գրառումներն այժմ ստեղծվում են միայն SHA-256 հեշերի հիման վրա (SHA-1-ի վրա հիմնված սերունդը դադարեցվել է):
- DNS Cookie-ի համար (RFC 7873) լռելյայն ալգորիթմն է SipHash 2-4, իսկ HMAC-SHA-ի աջակցությունը դադարեցվել է (AES-ը պահպանվում է):
- dnssec-signzone և dnssec-verify հրամանների ելքը այժմ ուղարկվում է ստանդարտ ելք (STDOUT), և միայն սխալներն ու նախազգուշացումները տպվում են STDERR-ում (-f տարբերակը տպում է նաև ստորագրված գոտին): «-q» տարբերակը ավելացվել է ելքը խլացնելու համար:
- DNSSEC վավերացման կոդը վերամշակվել է այլ ենթահամակարգերի հետ կոդերի կրկնօրինակումը վերացնելու համար:
- Վիճակագրությունը JSON ձևաչափով ցուցադրելու համար այժմ կարող է օգտագործվել միայն JSON-C գրադարանը: «--with-libjson»-ի կազմաձևման տարբերակը վերանվանվել է «--with-json-c»-ի:
- Կազմաձևման սկրիպտը այլևս չի սահմանում «--sysconfdir» -ը /etc-ում և «--localstatedir» /var-ում, եթե «--prefix» նշված չէ: Լռելյայն ուղիներն այժմ $prefix/etc և $prefix/var են, ինչպես օգտագործվում է Autoconf-ում:
- Հեռացվել է DLV (Domain Look-aside Verification, dnssec-lookaside տարբերակ) ծառայությունն իրականացնող կոդը, որը հնացել էր BIND 9.12-ում, իսկ հարակից dlv.isc.org մշակիչն անջատվել է 2017 թվականին: DLV-ների հեռացումը ազատեց BIND կոդը ավելորդ բարդություններից:
Source: opennet.ru