מהדורת BIND DNS Server 9.16.0

לאחר 11 חודשים של פיתוח, קונסורציום ISC הגישו המהדורה היציבה הראשונה של סניף משמעותי חדש של שרת BIND 9.16 DNS. סניף 9.16 ייתמך במשך שלוש שנים עד לרבעון השני של 2 כחלק ממחזור תחזוקה מורחב. עדכונים עבור סניף LTS הקודם 2023 ימשיכו להתפרסם עד דצמבר 9.11. התמיכה בסניף 2021 תסתיים בעוד שלושה חודשים.

העיקרי חידושים:

• נוספה KASP (מדיניות מפתח וחתימה), דרך פשוטה לנהל מפתחות DNSSEC וחתימות דיגיטליות על סמך הגדרת כללים שהוגדרו באמצעות הנחיית "dnssec-policy". הנחיה זו מאפשרת לך להגדיר את יצירת המפתחות החדשים הדרושים עבור אזורי DNS ואת השימוש האוטומטי במפתחות ZSK ו-KSK.
• תת-מערכת הרשת עוצבה מחדש באופן משמעותי, אשר הועברה למנגנון עיבוד הבקשות האסינכרוני המיושם על בסיס הספרייה ליבוב.
  העיבוד המחודש עדיין לא ביצע שינויים גלויים, אך במהדורות עתידיות הוא יספק כמה אופטימיזציות משמעותיות של ביצועים ויוסיף תמיכה לפרוטוקולים חדשים כגון DNS over TLS.

• ניהול משופר של DNSSEC (עוגן אמון) של מפתח ציבורי של אזור לאימות אזור. במקום הגדרות המפתחות המהימנות והמפתחות המנוהלים שהוצאו משימוש, הוצעה הנחיה חדשה של עוגני אמון שתאפשר ניהול של שני סוגי המפתחות.

  כאשר משתמשים בעוגני אמון עם מילת המפתח הראשונית, ההתנהגות של הנחיה זו זהה להתנהגות של מפתחות מנוהלים, כלומר. מגדיר הגדרת עוגן אמון לפי RFC 5011. מגדיר מפתח קבוע שאינו מתעדכן אוטומטית. Trust-anchors מספק גם שתי מילות מפתח נוספות, initial-ds ו-static-ds , המאפשרות לך להשתמש בעוגני אמון בפורמט DS (Delegation Signer) במקום DNSKEY, המאפשר להגדיר bindings למפתחות שטרם פורסמו (בעתיד, ארגון IANA מתכנן להשתמש בפורמט DS למפתחות אזור ליבה).

• נוספה אפשרות "+yaml" לחפירה, mdig ו-delv לפלט בפורמט YAML.
• נוספה אפשרות "+[לא] בלתי צפוי" לחפירת כלי כדי לאפשר תשובות ממארחים אחרים מלבד השרת שאליו נשלחה הבקשה.
• נוספה אפשרות "+[no]expandaaaa" לחפור כדי להציג כתובות IPv6 ברשומות AAAA בסימון מלא של 128 סיביות במקום בפורמט RFC 5952.
• נוספה את היכולת להחליף קבוצות של ערוצי סטטיסטיקה.
• רשומות DS ו-CDS נוצרות כעת רק בהתבסס על Hash SHA-256 (הדור המבוסס על SHA-1 הופסק).
• עבור עוגיות DNS (RFC 7873), אלגוריתם SipHash 2-4 מופעל כברירת מחדל, והתמיכה ב-HMAC-SHA בוטלה (AES נשמר).
• הפלט של הפקודות dnssec-signzone ו-dnssec-verify נשלח כעת לפלט סטנדרטי (STDOUT), ורק שגיאות ואזהרות מודפסות ל-STDERR (האזור החתום מודפס גם אם מצוינת אפשרות -f). נוספה אפשרות "-q" להשתקת הפלט.
• קוד האימות של DNSSEC עוצב מחדש, שהוא ללא שכפול קוד עם תת-מערכות אחרות.
• כדי להציג נתונים סטטיסטיים בפורמט JSON, כעת ניתן להשתמש רק בספריית JSON-C. שמו של אפשרות התצורה "--with-libjson" שונה ל-"--with-json-c".
• סקריפט התצורה כבר אינו מוגדר כברירת מחדל ל-"--sysconfdir" ב-/etc ו-"--localstatedir" ל-/var, אלא אם צוין "--prefix". נתיבי ברירת המחדל הם כעת $prefix/etc ו-$prefix/var בשימוש על ידי Autoconf.
• הוסר קוד הטמעת שירות DLV (אימות מבט-צד של דומיין, אפשרות dnssec-lookaside), שהוצא משימוש ב-BIND 9.12 והמטפל המשויך לו dlv.isc.org הושבת ב-2017. הסרת ה-DLV שחררה את קוד BIND ממורכבות מיותרת.

מקור: OpenNet.ru