BIND DNS серверін әзірлеушілер HTTPS арқылы DNS (DoH, HTTPS арқылы DNS) және TLS арқылы DNS (DoT, DNS over TLS) технологияларына серверлік қолдауды, сондай-ақ қауіпсіздікті қамтамасыз ету үшін XFR-over-TLS механизмін қосу туралы хабарлады. серверлер арасында DNS аймақтарының мазмұнын тасымалдау. DoH 9.17 шығарылымында тестілеу үшін қол жетімді және DoT қолдауы 9.17.10 шығарылымынан бері бар. Тұрақтандырудан кейін DoT және DoH қолдауы тұрақты 9.17.7 тармағына қайтарылады.
DoH-та қолданылатын HTTP/2 протоколын жүзеге асыру ассамблеялық тәуелділіктер қатарына кіретін nghttp2 кітапханасын пайдалануға негізделген (болашақта кітапхананы қосымша тәуелділіктер санына көшіру жоспарлануда). Шифрланған (TLS) және шифрланбаған HTTP/2 қосылымдарына қолдау көрсетіледі. Сәйкес параметрлермен бір атаулы процесс енді дәстүрлі DNS сұрауларына ғана емес, сонымен қатар DoH (DNS-over-HTTPS) және DoT (DNS-over-TLS) арқылы жіберілген сұрауларға да қызмет ете алады. Клиент жағындағы HTTPS қолдауы (диг) әлі іске асырылмаған. XFR-over-TLS қолдауы кіріс және шығыс сұраулары үшін қол жетімді.
DoH және DoT көмегімен сұрауды өңдеу тыңдау бойынша директиваға http және tls опцияларын қосу арқылы қосылады. Шифрланбаған DNS-over-HTTP-ге қолдау көрсету үшін параметрлерде «tls none» параметрін көрсету керек. Кілттер «tls» бөлімінде анықталған. DoT үшін 853, DoH үшін 443 және DNS-over-HTTP үшін 80 әдепкі желі порттарын tls-порт, https-порт және http-порт параметрлері арқылы қайта анықтауға болады. Мысалы: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; опциялар { https-порт 443; тыңдау порты 443 tls local-tls http myserver {кез келген;}; }
BIND жүйесінде DoH енгізу ерекшеліктерінің арасында интеграция жалпы тасымалдау ретінде атап өтіледі, оны шешушіге клиенттің сұрауларын өңдеу үшін ғана емес, сонымен қатар серверлер арасында деректер алмасу кезінде, аймақтарды беделді DNS серверімен тасымалдау кезінде және басқа DNS тасымалдаулары қолдайтын кез келген сұрауларды өңдеу кезінде.
Тағы бір мүмкіндік - TLS сертификаттары басқа жүйеде (мысалы, веб-серверлері бар инфрақұрылымда) сақталатын және басқа қызметкерлер жүргізетін жағдайларда қажет болуы мүмкін TLS үшін шифрлау әрекеттерін басқа серверге жылжыту мүмкіндігі. Шифрланбаған DNS-over-HTTP қолдауы жөндеуді жеңілдету үшін және ішкі желіде қайта жіберу қабаты ретінде жүзеге асырылады, оның негізінде шифрлауды басқа серверде ұйымдастыруға болады. Қашықтағы серверде nginx веб-сайттар үшін HTTPS байланыстыру қалай ұйымдастырылатынына ұқсас TLS трафигін жасау үшін пайдаланылуы мүмкін.
DNS-over-HTTPS провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафик спуфингімен (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде) қарсы тұру үшін пайдалы болуы мүмкін екенін еске түсірейік. DNS деңгейінде блоктау қосу (DNS-over-HTTPS DPI деңгейінде іске асырылған бұғаттауды айналып өтуде VPN алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаған кезде жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйелік конфигурацияда анықталған DNS серверлеріне тікелей жіберілсе, HTTPS арқылы DNS болған жағдайда хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және HTTP серверіне жіберіледі. шешуші Web API арқылы сұрауларды өңдейді.
«TLS арқылы DNS» стандартты DNS протоколын (әдетте желі порты 853 пайдаланылады) пайдаланудағы «HTTPS арқылы DNS» жүйесінен ерекшеленеді, TLS протоколы арқылы ұйымдастырылған шифрланған байланыс арнасына оралған, сертификатталған TLS/SSL сертификаттары арқылы хосттың жарамдылығын тексереді. сертификаттау органымен. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Ақпарат көзі: opennet.ru