Setelah 11 bulan pengembangan, konsorsium ISC rilis stabil pertama dari cabang baru yang signifikan dari server DNS BIND 9.16. Cabang 9.16 akan didukung selama tiga tahun hingga Q2 2023 sebagai bagian dari siklus pemeliharaan yang diperpanjang. Update cabang 9.11 LTS sebelumnya akan terus dirilis hingga Desember 2021. Dukungan untuk cabang 9.14 akan berakhir dalam tiga bulan.
Utama :
- Menambahkan KASP (Key and Signing Policy), cara yang disederhanakan untuk mengelola kunci DNSSEC dan tanda tangan digital berdasarkan aturan pengaturan yang ditentukan menggunakan arahan "dnssec-policy". Arahan ini memungkinkan Anda untuk mengonfigurasi pembuatan kunci baru yang diperlukan untuk zona DNS dan penggunaan otomatis kunci ZSK dan KSK.
- Subsistem jaringan telah didesain ulang secara signifikan, yang telah ditransfer ke mekanisme pemrosesan permintaan asinkron yang diimplementasikan berdasarkan perpustakaan .
Pengerjaan ulang ini belum menghasilkan perubahan apa pun, namun pada rilis mendatang akan memberikan beberapa optimalisasi kinerja yang signifikan dan menambahkan dukungan untuk protokol baru seperti DNS melalui TLS. - Peningkatan pengelolaan DNSSEC (Trust Anchor) pada kunci publik zona untuk autentikasi zona. Alih-alih pengaturan kunci tepercaya dan kunci terkelola yang sekarang sudah tidak digunakan lagi, arahan jangkar kepercayaan baru telah diusulkan untuk memungkinkan pengelolaan kedua jenis kunci.
Saat menggunakan jangkar kepercayaan dengan kata kunci kunci awal, perilaku direktif ini identik dengan kunci terkelola, yaitu. mendefinisikan pengaturan jangkar kepercayaan menurut RFC 5011. Saat menggunakan jangkar kepercayaan dengan kata kunci kunci statis, perilakunya sesuai dengan arahan kunci tepercaya; mendefinisikan kunci permanen yang tidak diperbarui secara otomatis. Trust-anchors juga menyediakan dua kata kunci lagi, initial-ds dan static-ds , yang memungkinkan Anda menggunakan trust jangkar dalam format (Penandatangan Delegasi) alih-alih DNSKEY, yang memungkinkan Anda mengonfigurasi pengikatan untuk kunci yang belum dipublikasikan (di masa mendatang, organisasi IANA berencana menggunakan format DS untuk kunci zona inti).
- Menambahkan opsi "+yaml" untuk utilitas dig, mdig, dan delv untuk menghasilkan output dalam format YAML.
- Menambahkan opsi "+[tidak]tak terduga" untuk menggali utilitas untuk memungkinkan balasan dari host selain server tempat permintaan dikirim.
- Menambahkan opsi "+[no]expandaaaa" untuk menggali guna menampilkan alamat IPv6 dalam data AAAA dalam notasi 128-bit penuh, bukan format RFC 5952.
- Menambahkan kemampuan untuk berpindah grup saluran statistik.
- Catatan DS dan CDS kini hanya dibuat berdasarkan hash SHA-256 (pembuatan berdasarkan SHA-1 telah dihentikan).
- Untuk Cookie DNS (RFC 7873), algoritme SipHash 2-4 diaktifkan secara default, dan dukungan HMAC-SHA telah dihentikan (AES dipertahankan).
- Output dari perintah dnssec-signzone dan dnssec-verify sekarang dikirim ke output standar (STDOUT), dan hanya kesalahan dan peringatan yang dicetak ke STDERR (zona bertanda juga dicetak jika opsi -f ditentukan). Menambahkan opsi "-q" untuk membisukan keluaran.
- Kode validasi DNSSEC telah didesain ulang, bebas dari duplikasi kode dengan subsistem lain.
- Untuk menampilkan statistik dalam format JSON, sekarang hanya perpustakaan JSON-C yang dapat digunakan. Opsi konfigurasi "--with-libjson" telah diubah namanya menjadi "--with-json-c".
- Skrip konfigurasi tidak lagi default ke "--sysconfdir" di /etc dan "--localstatedir" ke /var, kecuali "--prefix" ditentukan. Jalur default sekarang adalah $prefix/etc dan $prefix/var yang digunakan oleh Autoconf.
- Menghapus kode implementasi layanan DLV (Verifikasi Domain Look-aside, opsi dnssec-lookaside), yang tidak digunakan lagi di BIND 9.12 dan pengendali dlv.isc.org yang terkait telah dinonaktifkan pada tahun 2017. Menghapus DLV membebaskan kode BIND dari kerumitan yang tidak perlu.
Sumber: opennet.ru