Dopo 11 mesi di sviluppo, il consorzio ISC La prima versione stabile di un nuovo ramo significativo del server DNS BIND 9.16. Il supporto per il ramo 9.16 sarà fornito per tre anni fino al 2° trimestre del 2023 come parte di un ciclo di supporto esteso. Gli aggiornamenti per il precedente ramo LTS 9.11 continueranno a essere rilasciati fino a dicembre 2021. Il supporto per il ramo 9.14 terminerà tra tre mesi.
Il principale :
- Aggiunto KASP (Key and Signing Policy), un modo semplificato per gestire le chiavi DNSSEC e le firme digitali, basato sull'impostazione di regole definite utilizzando la direttiva “dnssec-policy”. Questa direttiva consente di configurare la generazione delle nuove chiavi necessarie per le zone DNS e l'applicazione automatica delle chiavi ZSK e KSK.
- Il sottosistema di rete è stato notevolmente riprogettato e convertito in un meccanismo di elaborazione delle richieste asincrono implementato in base alla libreria .
La rielaborazione non ha ancora comportato modifiche visibili, ma nelle versioni future offrirà l'opportunità di implementare alcune significative ottimizzazioni delle prestazioni e aggiungere il supporto per nuovi protocolli come DNS su TLS. - Processo migliorato per la gestione dei trust Anchor DNSSEC (Trust Anchor, una chiave pubblica legata a una zona per verificare l'autenticità di questa zona). Al posto delle impostazioni Trusted-Keys e Managed-Keys, che ora sono deprecate, è stata proposta una nuova direttiva Trust-Anchors che consente di gestire entrambi i tipi di chiavi.
Quando si utilizzano trust-anchor con la parola chiave individual-key, il comportamento di questa direttiva è identico a quello delle chiavi gestite, ovvero definisce l'impostazione dell'ancora di fiducia in conformità con RFC 5011. Quando si utilizzano trust-anchor con la parola chiave static-key, il comportamento corrisponde alla direttiva Trusted-Keys, cioè definisce una chiave persistente che non viene aggiornata automaticamente. Trust-anchors offre anche altre due parole chiave, partial-ds e static-ds, che consentono di utilizzare i trust-anchors nel formato (Delegation Signer) invece di DNSKEY, che consente di configurare i collegamenti per le chiavi non ancora pubblicate (l'organizzazione IANA prevede di utilizzare in futuro il formato DS per le chiavi della core zone).
- L'opzione "+yaml" è stata aggiunta alle utilità dig, mdig e delv per l'output in formato YAML.
- L'opzione “+[no]unexpected” è stata aggiunta all'utilità dig, consentendo la ricezione di risposte da host diversi dal server a cui è stata inviata la richiesta.
- Aggiunta l'opzione "+[no]expandaaaa" all'utilità dig, che fa sì che gli indirizzi IPv6 nei record AAAA vengano visualizzati nella rappresentazione completa a 128 bit, anziché nel formato RFC 5952.
- Aggiunta la possibilità di cambiare gruppo di canali statistici.
- I record DS e CDS vengono ora generati solo in base agli hash SHA-256 (la generazione basata su SHA-1 è stata interrotta).
- Per DNS Cookie (RFC 7873), l'algoritmo predefinito è SipHash 2-4 e il supporto per HMAC-SHA è stato interrotto (AES viene mantenuto).
- L'output dei comandi dnssec-signzone e dnssec-verify viene ora inviato allo standard output (STDOUT) e solo gli errori e gli avvisi vengono stampati su STDERR (l'opzione -f stampa anche la zona firmata). È stata aggiunta l'opzione "-q" per disattivare l'output.
- Il codice di convalida DNSSEC è stato rielaborato per eliminare la duplicazione del codice con altri sottosistemi.
- Per visualizzare le statistiche in formato JSON è ora possibile utilizzare solo la libreria JSON-C. L'opzione di configurazione "--with-libjson" è stata rinominata in "--with-json-c".
- Lo script configure non ha più il valore predefinito "--sysconfdir" in /etc e "--localstatedir" in /var a meno che non venga specificato "--prefix". I percorsi predefiniti ora sono $prefix/etc e $prefix/var, come usati in Autoconf.
- Rimosso il codice che implementa il servizio DLV (Domain Look-aside Verification, opzione dnssec-lookaside), che era deprecato in BIND 9.12, e il gestore dlv.isc.org associato è stato disabilitato nel 2017. La rimozione dei DLV ha liberato il codice BIND da complicazioni inutili.
Fonte: opennet.ru