Sawise 11 wulan pembangunan, konsorsium ISC Rilis stabil pisanan saka cabang penting anyar saka server DNS BIND 9.16. Dhukungan kanggo cabang 9.16 bakal diwenehake sajrone telung taun nganti kuartal kaping 2 2023 minangka bagean saka siklus dhukungan lengkap. Nganyari kanggo cabang LTS 9.11 sadurunge bakal terus dirilis nganti Desember 2021. Dhukungan kanggo cabang 9.14 bakal rampung ing telung sasi.
Utama :
- Added KASP (Key and Signing Policy), cara sing disederhanakake kanggo ngatur kunci DNSSEC lan teken digital, adhedhasar aturan setelan sing ditetepake nggunakake arahan "dnssec-policy". Arahan iki ngidini sampeyan ngatur generasi kunci anyar sing dibutuhake kanggo zona DNS lan aplikasi otomatis tombol ZSK lan KSK.
- Subsistem jaringan wis didesain ulang kanthi signifikan lan dialihake menyang mekanisme pangolahan panjaluk asinkron sing diimplementasikake adhedhasar perpustakaan. .
Rework durung nyebabake owah-owahan sing katon, nanging ing rilis ing mangsa ngarep bakal menehi kesempatan kanggo ngetrapake sawetara optimasi kinerja sing signifikan lan nambah dhukungan kanggo protokol anyar kayata DNS liwat TLS. - Proses sing luwih apik kanggo ngatur jangkar kapercayan DNSSEC (jangkar kepercayaan, kunci umum sing diikat menyang zona kanggo verifikasi keaslian zona iki). Tinimbang setelan tombol sing dipercaya lan tombol sing dikelola, sing saiki wis ora digunakake, direktif jangkar kepercayaan anyar wis diusulake sing ngidini sampeyan ngatur loro jinis kunci kasebut.
Nalika nggunakake jangkar kepercayaan kanthi tembung kunci kunci awal, prilaku arahan iki identik karo kunci sing dikelola, yaiku. nemtokake setelan jangkar kapercayan miturut RFC 5011. Nalika nggunakake jangkar kapercayan kanthi tembung kunci statis, prilaku kasebut cocog karo arahan tombol sing dipercaya, yaiku. nemtokake kunci terus-terusan sing ora dianyari kanthi otomatis. Trust-anchors uga nawakake rong tembung kunci liyane, initial-ds lan static-ds, sing ngidini sampeyan nggunakake jangkar kepercayaan ing format kasebut. (Penandatangan Delegasi) tinimbang DNSKEY, sing ndadekake iku bisa kanggo ngatur bindings kanggo tombol sing durung diterbitake (organisasi IANA plans nggunakake format DS kanggo tombol zona inti ing mangsa).
- Pilihan "+ yaml" wis ditambahake menyang dig, mdig lan delv keperluan kanggo output ing format YAML.
- Opsi "+ [ora] ora dikarepke" wis ditambahake menyang sarana dig, ngidini nampa tanggapan saka host liyane saka server sing dikirimake panjaluk kasebut.
- Nambahake opsi "+ [no] expandaaaa" kanggo nggali sarana, sing nyebabake alamat IPv6 ing cathetan AAAA ditampilake kanthi perwakilan 128-bit, tinimbang ing format RFC 5952.
- Nambahake kemampuan kanggo ngalih klompok saluran statistik.
- Cathetan DS lan CDS saiki digawe mung adhedhasar hash SHA-256 (generasi adhedhasar SHA-1 wis mandheg).
- Kanggo DNS Cookie (RFC 7873), algoritma standar yaiku SipHash 2-4, lan dhukungan kanggo HMAC-SHA wis mandheg (AES ditahan).
- Output saka dnssec-signzone lan dnssec-verify printah saiki dikirim menyang output standar (STDOUT), lan mung kasalahan lan bebaya dicithak kanggo STDERR (pilihan -f uga prints zona mlebu). Opsi "-q" wis ditambahake kanggo nggawe bisu output.
- Kode validasi DNSSEC wis digarap maneh kanggo ngilangi duplikasi kode karo subsistem liyane.
- Kanggo nampilake statistik ing format JSON, mung perpustakaan JSON-C saiki bisa digunakake. Opsi konfigurasi "--with-libjson" wis diganti jeneng dadi "--with-json-c".
- Skrip konfigurasi ora dadi standar maneh kanggo "--sysconfdir" ing / etc lan "--localstatedir" ing / var kajaba "--prefix" ditemtokake. Path standar saiki $prefix/etc lan $prefix/var, kaya sing digunakake ing Autoconf.
- Kode dibusak sing ngleksanakake layanan DLV (Verifikasi Domain Look-aside, dnssec-lookaside option), sing ora digunakake ing BIND 9.12, lan panangan dlv.isc.org sing ana gandhengane dipateni ing 2017. Mbusak DLVs mbebasake kode BIND saka komplikasi sing ora perlu.
Source: opennet.ru