Hönnuðir BIND DNS netþjónsins tilkynntu að bætt væri við netþjónsstuðningi fyrir DNS yfir HTTPS (DoH, DNS yfir HTTPS) og DNS yfir TLS (DoT, DNS yfir TLS) tækni, auk XFR-yfir-TLS kerfisins fyrir örugga flytja innihald DNS-svæða á milli netþjóna. DoH er fáanlegt til prófunar í útgáfu 9.17 og DoT stuðningur hefur verið til staðar síðan útgáfu 9.17.10. Eftir stöðugleika verður DoT og DoH stuðningur fluttur aftur í stöðuga 9.17.7 útibúið.
Innleiðing HTTP/2 samskiptareglunnar sem notuð er í DoH byggist á notkun nghttp2 bókasafnsins, sem er innifalið meðal samsetningarháðanna (í framtíðinni er áætlað að safnið verði flutt yfir í fjölda valfrjálsa ósjálfstæði). Bæði dulkóðaðar (TLS) og ódulkóðaðar HTTP/2 tengingar eru studdar. Með viðeigandi stillingum getur eitt nafngreint ferli nú þjónað ekki aðeins hefðbundnum DNS fyrirspurnum, heldur einnig fyrirspurnum sem sendar eru með DoH (DNS-over-HTTPS) og DoT (DNS-over-TLS). HTTPS stuðningur á biðlarahlið (grafa) er ekki enn innleiddur. XFR-over-TLS stuðningur er í boði fyrir beiðnir á heimleið og útleið.
Beiðnavinnsla með því að nota DoH og DoT er virkjuð með því að bæta http og tls valkostinum við hlustunartilskipunina. Til að styðja ódulkóðað DNS-yfir-HTTP ættir þú að tilgreina „tls none“ í stillingunum. Lyklar eru skilgreindir í "tls" hlutanum. Hægt er að hnekkja sjálfgefnum netgáttum 853 fyrir DoT, 443 fyrir DoH og 80 fyrir DNS-over-HTTP í gegnum tls-port, https-port og http-port breytur. Til dæmis: tls local-tls { lykilskrá "/path/to/priv_key.pem"; vottorðsskrá "/path/to/cert_chain.pem"; }; http staðbundinn-http-þjónn { endapunktar { "/dns-query"; }; }; valkostir { https-port 443; hlusta-á tengi 443 tls local-tls http myserver {hvað sem er;}; }
Meðal eiginleika DoH útfærslunnar í BIND er samþætting nefnd sem almennur flutningur, sem hægt er að nota ekki aðeins til að vinna úr biðlarabeiðnum til lausnaraðilans, heldur einnig þegar skipt er á gögnum á milli netþjóna, þegar svæði eru flutt af opinberum DNS netþjóni og þegar unnið er úr beiðnum sem eru studdar af öðrum DNS flutningum.
Annar eiginleiki er hæfileikinn til að færa dulkóðunaraðgerðir fyrir TLS yfir á annan netþjón, sem gæti verið nauðsynlegt við aðstæður þar sem TLS vottorð eru geymd á öðru kerfi (til dæmis í innviði með vefþjónum) og viðhaldið af öðru starfsfólki. Stuðningur við ódulkóðað DNS-yfir-HTTP er útfært til að einfalda villuleit og sem lag fyrir áframsendingu á innra neti, á grundvelli þess er hægt að skipuleggja dulkóðun á öðrum netþjóni. Á ytri netþjóni er hægt að nota nginx til að búa til TLS umferð, svipað og HTTPS binding er skipulögð fyrir vefsíður.
Við skulum muna að DNS-yfir-HTTPS getur verið gagnlegt til að koma í veg fyrir leka á upplýsingum um umbeðin hýsilheiti í gegnum DNS-þjóna veitenda, berjast gegn MITM árásum og DNS-umferðarskemmdum (til dæmis þegar tengst er almennu Wi-Fi), vinna gegn lokun á á DNS stigi (DNS-yfir-HTTPS getur ekki komið í stað VPN með því að komast framhjá lokun sem er innleidd á DPI stigi) eða til að skipuleggja vinnu þegar ómögulegt er að fá beinan aðgang að DNS netþjónum (til dæmis þegar unnið er í gegnum proxy). Ef við venjulegar aðstæður eru DNS beiðnir sendar beint á DNS netþjóna sem eru skilgreindir í kerfisstillingunni, þá er beiðnin um að ákvarða IP tölu hýsilsins hjúpuð í HTTPS umferð og send á HTTP netþjóninn, þegar um er að ræða DNS-over-HTTPS. leysirinn vinnur úr beiðnum í gegnum API á vefnum.
„DNS yfir TLS“ er frábrugðið „DNS yfir HTTPS“ í notkun staðlaðrar DNS-samskiptareglur (netgátt 853 er venjulega notað), vafin inn í dulkóðaða samskiptarás sem er skipulögð með TLS-samskiptareglum með lögmætisskoðun hýsils í gegnum TLS/SSL vottorð vottuð af vottunaraðila. Núverandi DNSSEC staðall notar dulkóðun eingöngu til að auðkenna biðlara og netþjón, en verndar ekki umferð fyrir hlerun og ábyrgist ekki trúnað um beiðnir.
Heimild: opennet.ru