Pengembang server DNS BIND mengumumkan penambahan dukungan server untuk teknologi DNS over HTTPS (DoH, DNS over HTTPS) dan DNS over TLS (DoT, DNS over TLS), serta mekanisme XFR-over-TLS untuk keamanan. mentransfer konten zona DNS antar server. DoH tersedia untuk pengujian di rilis 9.17, dan dukungan DoT telah hadir sejak rilis 9.17.10. Setelah stabilisasi, dukungan DoT dan DoH akan di-backport ke cabang stabil 9.17.7.
Implementasi protokol HTTP/2 yang digunakan di DoH didasarkan pada penggunaan pustaka nghttp2, yang termasuk di antara dependensi rakitan (di masa mendatang, pustaka tersebut rencananya akan dipindahkan ke jumlah dependensi opsional). Koneksi HTTP/2 terenkripsi (TLS) dan tidak terenkripsi didukung. Dengan pengaturan yang sesuai, satu proses bernama kini dapat melayani tidak hanya kueri DNS tradisional, namun juga kueri yang dikirim menggunakan DoH (DNS-over-HTTPS) dan DoT (DNS-over-TLS). Dukungan HTTPS di sisi klien (penggalian) belum diterapkan. Dukungan XFR-over-TLS tersedia untuk permintaan masuk dan keluar.
Pemrosesan permintaan menggunakan DoH dan DoT diaktifkan dengan menambahkan opsi http dan tls ke direktif pendengaran. Untuk mendukung DNS-over-HTTP yang tidak terenkripsi, Anda harus menentukan “tls none” di pengaturan. Kunci ditentukan di bagian "tls". Port jaringan default 853 untuk DoT, 443 untuk DoH, dan 80 untuk DNS-over-HTTP dapat diganti melalui parameter tls-port, https-port, dan http-port. Misalnya: tls local-tls { file kunci "/path/to/priv_key.pem"; file sertifikat "/path/to/cert_chain.pem"; }; http lokal-http-server { titik akhir { "/dns-query"; }; }; pilihan { https-port 443; dengarkan port 443 tls local-tls http server saya {apa saja;}; }
Di antara fitur implementasi DoH di BIND, integrasi dicatat sebagai transportasi umum, yang dapat digunakan tidak hanya untuk memproses permintaan klien ke penyelesai, tetapi juga saat bertukar data antar server, saat mentransfer zona oleh server DNS otoritatif, dan saat memproses permintaan apa pun yang didukung oleh transport DNS lainnya.
Fitur lainnya adalah kemampuan untuk memindahkan operasi enkripsi TLS ke server lain, yang mungkin diperlukan dalam kondisi di mana sertifikat TLS disimpan di sistem lain (misalnya, dalam infrastruktur dengan server web) dan dikelola oleh personel lain. Dukungan untuk DNS-over-HTTP yang tidak terenkripsi diterapkan untuk menyederhanakan proses debug dan sebagai lapisan penerusan di jaringan internal, yang menjadi dasar enkripsi dapat diatur di server lain. Di server jarak jauh, nginx dapat digunakan untuk menghasilkan lalu lintas TLS, mirip dengan cara pengikatan HTTPS diatur untuk situs web.
Ingatlah bahwa DNS-over-HTTPS dapat berguna untuk mencegah kebocoran informasi tentang nama host yang diminta melalui server DNS penyedia, melawan serangan MITM dan spoofing lalu lintas DNS (misalnya, saat menghubungkan ke Wi-Fi publik), melawan pemblokiran di tingkat DNS (DNS-over-HTTPS tidak dapat menggantikan VPN dalam melewati pemblokiran yang diterapkan di tingkat DPI) atau untuk mengatur pekerjaan ketika tidak mungkin mengakses server DNS secara langsung (misalnya, saat bekerja melalui proxy). Jika dalam situasi normal permintaan DNS langsung dikirim ke server DNS yang ditentukan dalam konfigurasi sistem, maka dalam kasus DNS-over-HTTPS permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, di mana penyelesai memproses permintaan melalui Web API.
“DNS over TLS” berbeda dengan “DNS over HTTPS” dalam penggunaan protokol DNS standar (biasanya digunakan port jaringan 853), dibungkus dalam saluran komunikasi terenkripsi yang diatur menggunakan protokol TLS dengan pemeriksaan validitas host melalui sertifikat TLS/SSL yang disertifikasi oleh otoritas sertifikasi. Standar DNSSEC yang ada menggunakan enkripsi hanya untuk mengautentikasi klien dan server, tetapi tidak melindungi lalu lintas dari intersepsi dan tidak menjamin kerahasiaan permintaan.
Sumber: opennet.ru