Pangembang server DNS BIND ngumumake tambahan dhukungan server kanggo DNS liwat HTTPS (DoH, DNS liwat HTTPS) lan teknologi DNS liwat TLS (DoT, DNS liwat TLS), uga mekanisme XFR-over-TLS kanggo aman. nransfer isi zona DNS antarane server. DoH kasedhiya kanggo testing ing release 9.17, lan dhukungan DoT wis ana wiwit release 9.17.10. Sawise stabil, dhukungan DoT lan DoH bakal bali menyang cabang 9.17.7 sing stabil.
Implementasi protokol HTTP / 2 sing digunakake ing DoH adhedhasar panggunaan perpustakaan nghttp2, sing kalebu ing antarane dependensi perakitan (ing mangsa ngarep, perpustakaan direncanakake bakal ditransfer menyang nomer dependensi opsional). Sambungan sing dienkripsi (TLS) lan HTTP/2 sing ora dienkripsi didhukung. Kanthi setelan sing cocog, proses siji sing dijenengi saiki bisa nglayani ora mung pitakon DNS tradisional, nanging uga pitakon sing dikirim nggunakake DoH (DNS-over-HTTPS) lan DoT (DNS-over-TLS). Dhukungan HTTPS ing sisih klien (dig) durung dileksanakake. Dhukungan XFR-over-TLS kasedhiya kanggo panjalukan mlebu lan metu.
Proses panjalukan nggunakake DoH lan DoT diaktifake kanthi nambahake opsi http lan tls menyang arahan ngrungokake. Kanggo ndhukung DNS-over-HTTP sing ora dienkripsi, sampeyan kudu nemtokake "tls none" ing setelan kasebut. Tombol ditetepake ing bagean "tls". Port jaringan standar 853 kanggo DoT, 443 kanggo DoH lan 80 kanggo DNS-over-HTTP bisa diganti liwat paramèter tls-port, https-port lan http-port. Contone: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsi { https-port 443; listen-on port 443 tls local-tls http myserver {apa wae;}; }
Antarane fitur implementasi DoH ing BIND, integrasi kacathet minangka transportasi umum, sing bisa digunakake ora mung kanggo ngolah panjaluk klien menyang solver, nanging uga nalika ijol-ijolan data antarane server, nalika nransfer zona dening server DNS sing berwibawa, lan nalika ngolah panjaluk apa wae sing didhukung dening transportasi DNS liyane.
Fitur liyane yaiku kemampuan kanggo mindhah operasi enkripsi kanggo TLS menyang server liyane, sing bisa uga dibutuhake ing kahanan ing ngendi sertifikat TLS disimpen ing sistem liyane (contone, ing infrastruktur karo server web) lan dikelola dening personel liyane. Dhukungan kanggo DNS-over-HTTP sing ora dienkripsi ditindakake kanggo nyederhanakake debugging lan minangka lapisan kanggo diterusake ing jaringan internal, kanthi basis enkripsi sing bisa diatur ing server liyane. Ing server remot, nginx bisa digunakake kanggo ngasilake lalu lintas TLS, padha karo cara ikatan HTTPS diatur kanggo situs web.
Elinga yen DNS-over-HTTPS bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS (contone, nalika nyambung menyang Wi-Fi umum), countering. pamblokiran ing tingkat DNS (DNS-over-HTTPS ora bisa ngganti VPN ing bypassing pamblokiran sing dileksanakake ing tingkat DPI) utawa kanggo ngatur karya nalika ora bisa langsung ngakses server DNS (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DNS-over-HTTPS, panjaluk kanggo nemtokake alamat IP inang wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ngendi solver pangolahan panjalukan liwat Web API.
"DNS liwat TLS" beda karo "DNS liwat HTTPS" ing panggunaan protokol DNS standar (port jaringan 853 biasane digunakake), dibungkus saluran komunikasi sing dienkripsi sing diatur nggunakake protokol TLS kanthi mriksa validitas host liwat sertifikat TLS/SSL sing disertifikasi. dening wewenang sertifikasi. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Source: opennet.ru