Ndị mmepe nke ihe nkesa BIND DNS kwupụtara mgbakwunye nkwado nke sava maka DNS n'elu HTTPS (DoH, DNS n'elu HTTPS) na teknụzụ DNS karịrị TLS (DoT, DNS n'elu TLS), yana usoro XFR-over-TLS maka nchekwa. na-ebufe ọdịnaya nke mpaghara DNS n'etiti sava. DoH dị maka nnwale na ntọhapụ 9.17, na nkwado DoT adịla kemgbe a tọhapụrụ 9.17.10. Mgbe nkwụsi ike gasịrị, nkwado DoT na DoH ga-alaghachi na ngalaba 9.17.7 kwụsiri ike.
Mmejuputa iwu HTTP / 2 ejiri mee ihe na DoH dabere na iji ụlọ akwụkwọ nghttp2, nke gụnyere n'etiti ndị na-adabere na mgbakọ (n'ọdịnihu, a na-eme atụmatụ ibufe ọba akwụkwọ na ọnụọgụ nhọrọ nhọrọ). A na-akwado ma ezoro ezo (TLS) na njikọ HTTP/2 ezoro ezo. Site na ntọala kwesịrị ekwesị, otu usoro aha ya nwere ike ije ozi ọ bụghị naanị ajụjụ DNS ọdịnala, kamakwa ajụjụ zitere site na iji DoH (DNS-over-HTTPS) na DoT (DNS-over-TLS). Emebebeghị nkwado HTTPS n'akụkụ ndị ahịa (gwuo) Nkwado XFR-over-TLS dị maka arịrịọ mbata na ọpụpụ.
A na-akwado nhazi arịrịọ site na iji DoH na DoT site n'ịgbakwunye nhọrọ http na tls na ntụziaka ịge ntị. Iji kwado DNS-over-HTTP ezoro ezo, ị ga-ezipụta "tls ọ dịghị" na ntọala. A kọwapụtara igodo na ngalaba "tls". Enwere ike ihichapụ ọdụ ụgbọ mmiri netwọk 853 maka DoT, 443 maka DoH na 80 maka DNS-over-HTTP site na tls-port, https-port and http-port parameters. Dịka ọmụmaatụ: tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-sava {njedebe {"/dns-query"; }; }; nhọrọ {https-ọdụ ụgbọ mmiri 443; ntị-na ọdụ ụgbọ mmiri 443 tls local-tls http myserver {ọ bụla;}; }
N'ime njirimara nke mmejuputa DoH na BIND, a na-ahụ njikọ dị ka ụgbọ njem n'ozuzu, nke enwere ike iji ọ bụghị naanị ịhazi arịrịọ ndị ahịa na onye na-edozi ya, kamakwa mgbe ị na-agbanwe data n'etiti sava, mgbe ị na-ebufe mpaghara site na ihe nkesa DNS nwere ikike, na mgbe ị na-edozi arịrịọ ọ bụla nke ụgbọ njem DNS ndị ọzọ na-akwado.
Akụkụ ọzọ bụ ikike ịkwaga ọrụ nzuzo maka TLS na sava ọzọ, nke nwere ike ịdị mkpa na ọnọdụ ebe echekwara asambodo TLS na sistemụ ọzọ (dịka ọmụmaatụ, na akụrụngwa nwere sava weebụ) yana ndị ọrụ ndị ọzọ na-echekwa ya. A na-emejuputa nkwado maka DNS-over-HTTP ezoro ezo iji mee ka nbipu dị mfe yana dịka oyi akwa maka ibugharị na netwọk dị n'ime, na ndabere nke e nwere ike ịhazi nzuzo na ihe nkesa ọzọ. Na sava dịpụrụ adịpụ, enwere ike iji nginx mepụta okporo ụzọ TLS, dịka otu esi ahazi njikọ HTTPS maka weebụsaịtị.
Ka anyị cheta na DNS-over-HTTPS nwere ike ịba uru maka igbochi ntachi nke ozi gbasara aha ndị ọbịa a rịọrọ site na sava DNS nke ndị na-eweta ya, ịlụso ọgụ MITM ọgụ na ịkpachapụ anya okporo ụzọ DNS (dịka ọmụmaatụ, mgbe ị na-ejikọ na Wi-Fi ọha) igbochi na ọkwa DNS (DNS-over-HTTPS enweghị ike dochie VPN na ịgabiga mgbochi emejuputa na ọkwa DPI) ma ọ bụ maka ịhazi ọrụ mgbe ọ na-agaghị ekwe omume ịnweta sava DNS ozugbo (dịka ọmụmaatụ, mgbe ị na-arụ ọrụ site na proxy). Ọ bụrụ na n'ọnọdụ nkịtị, a na-ezigara arịrịọ DNS ozugbo na sava DNS akọwapụtara na nhazi sistemụ, mgbe ahụ n'ihe banyere DNS-over-HTTPS, a na-etinye arịrịọ iji chọpụta adreesị IP onye ọbịa na okporo ụzọ HTTPS wee ziga na sava HTTP, ebe. onye na-edozi arịrịọ na-ahazi arịrịọ site na API Weebụ.
"DNS n'elu TLS" dị iche na "DNS n'elu HTTPS" na iji ọkọlọtọ DNS protocol (a na-ejikarị ọdụ ụgbọ mmiri 853), kechie na ọwa nkwurịta okwu ezoro ezo nke ahaziri site na iji usoro TLS nwere nkwenye nnabata site na asambodo TLS/SSL. site n'aka ikike asambodo. Ụkpụrụ DNSSEC dị ugbu a na-eji ezoro ezo naanị iji chọpụta onye ahịa na ihe nkesa, mana ọ naghị echebe okporo ụzọ site na interception na anaghị ekwe nkwa nzuzo nke arịrịọ.
isi: opennet.ru