ការគាំទ្រសាកល្បងសម្រាប់ DNS-over-HTTPS ត្រូវបានបន្ថែមទៅម៉ាស៊ីនមេ DNS BIND

អ្នកអភិវឌ្ឍន៍នៃម៉ាស៊ីនមេ DNS BIND បានប្រកាសពីការបន្ថែមនៃការគាំទ្រម៉ាស៊ីនមេសម្រាប់ DNS លើ HTTPS (DoH, DNS over HTTPS) និង DNS over TLS (DoT, DNS over TLS) ក៏ដូចជាយន្តការ XFR-over-TLS សម្រាប់សុវត្ថិភាព។ ផ្ទេរមាតិកានៃតំបន់ DNS រវាងម៉ាស៊ីនមេ។ DoH អាចរកបានសម្រាប់ការសាកល្បងនៅក្នុងការចេញផ្សាយ 9.17 ហើយការគាំទ្រ DoT មានវត្តមានចាប់តាំងពីការចេញផ្សាយ 9.17.10 ។ បន្ទាប់ពីស្ថេរភាព ការគាំទ្រ DoT និង DoH នឹងត្រូវបានបញ្ជូនទៅសាខា 9.17.7 ដែលមានស្ថេរភាព។

ការអនុវត្តពិធីការ HTTP/2 ដែលប្រើក្នុង DoH គឺផ្អែកលើការប្រើប្រាស់បណ្ណាល័យ nghttp2 ដែលត្រូវបានរួមបញ្ចូលក្នុងចំណោមភាពអាស្រ័យការជួបប្រជុំគ្នា (នៅពេលអនាគត បណ្ណាល័យត្រូវបានគ្រោងនឹងផ្ទេរទៅចំនួននៃជម្រើសអាស្រ័យ) ។ ទាំងការតភ្ជាប់ដែលបានអ៊ិនគ្រីប (TLS) និងមិនបានអ៊ិនគ្រីប HTTP/2 ត្រូវបានគាំទ្រ។ ជាមួយនឹងការកំណត់សមស្រប ដំណើរការដែលមានឈ្មោះតែមួយឥឡូវនេះអាចបម្រើមិនត្រឹមតែសំណួរ DNS បែបប្រពៃណីប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងសំណួរដែលបានផ្ញើដោយប្រើ DoH (DNS-over-HTTPS) និង DoT (DNS-over-TLS) ផងដែរ។ ការគាំទ្រ HTTPS នៅផ្នែកអតិថិជន (ជីក) មិនត្រូវបានអនុវត្តនៅឡើយទេ។ ការគាំទ្រ XFR-over-TLS គឺអាចរកបានសម្រាប់សំណើទាំងក្នុង និងក្រៅប្រទេស។

ដំណើរការស្នើសុំដោយប្រើ DoH និង DoT ត្រូវបានបើកដោយបន្ថែមជម្រើស http និង tls ទៅកាន់ការណែនាំស្តាប់។ ដើម្បីគាំទ្រ DNS-over-HTTP ដែលមិនបានអ៊ិនគ្រីប អ្នកគួរតែបញ្ជាក់ “tls none” នៅក្នុងការកំណត់។ គ្រាប់ចុចត្រូវបានកំណត់នៅក្នុងផ្នែក "tls" ។ ច្រកបណ្តាញលំនាំដើម 853 សម្រាប់ DoT, 443 សម្រាប់ DoH និង 80 សម្រាប់ DNS-over-HTTP អាចត្រូវបានបដិសេធតាមរយៈប៉ារ៉ាម៉ែត្រ tls-port, https-port និង http-port ។ ឧទាហរណ៍៖ tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; ជម្រើស { https-port 443; listen-on port 443 tls local-tls http myserver { any;}; }

ក្នុងចំណោមលក្ខណៈពិសេសនៃការអនុវត្ត DoH នៅក្នុង BIND ការរួមបញ្ចូលត្រូវបានសម្គាល់ថាជាការដឹកជញ្ជូនទូទៅ ដែលអាចត្រូវបានប្រើមិនត្រឹមតែដើម្បីដំណើរការសំណើរបស់អតិថិជនទៅកាន់អ្នកដោះស្រាយប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងនៅពេលផ្លាស់ប្តូរទិន្នន័យរវាងម៉ាស៊ីនមេ នៅពេលផ្ទេរតំបន់ដោយម៉ាស៊ីនមេ DNS ដែលមានការអនុញ្ញាត និង នៅពេលដំណើរការសំណើណាមួយដែលគាំទ្រដោយការដឹកជញ្ជូន DNS ផ្សេងទៀត។

លក្ខណៈពិសេសមួយទៀតគឺសមត្ថភាពក្នុងការផ្លាស់ទីប្រតិបត្តិការអ៊ិនគ្រីបសម្រាប់ TLS ទៅម៉ាស៊ីនមេផ្សេងទៀត ដែលប្រហែលជាចាំបាច់នៅក្នុងលក្ខខណ្ឌដែលវិញ្ញាបនបត្រ TLS ត្រូវបានរក្សាទុកនៅលើប្រព័ន្ធមួយផ្សេងទៀត (ឧទាហរណ៍នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធជាមួយម៉ាស៊ីនមេគេហទំព័រ) និងរក្សាដោយបុគ្គលិកផ្សេងទៀត។ ការគាំទ្រសម្រាប់ DNS-over-HTTP ដែលមិនបានអ៊ិនគ្រីបត្រូវបានអនុវត្តដើម្បីសម្រួលការកែកំហុស និងជាស្រទាប់សម្រាប់បញ្ជូនបន្តនៅក្នុងបណ្តាញខាងក្នុង ដោយឈរលើមូលដ្ឋាននៃការអ៊ិនគ្រីបអាចត្រូវបានរៀបចំនៅលើម៉ាស៊ីនមេផ្សេងទៀត។ នៅលើម៉ាស៊ីនមេពីចម្ងាយ nginx អាចត្រូវបានប្រើដើម្បីបង្កើតចរាចរ TLS ដែលស្រដៀងទៅនឹងរបៀបដែលការចង HTTPS ត្រូវបានរៀបចំសម្រាប់គេហទំព័រ។

ចូរយើងរំលឹកឡើងវិញថា DNS-over-HTTPS អាចមានប្រយោជន៍សម្រាប់ការការពារការលេចធ្លាយព័ត៌មានអំពីឈ្មោះម៉ាស៊ីនដែលបានស្នើសុំតាមរយៈម៉ាស៊ីនមេ DNS របស់អ្នកផ្តល់សេវា ប្រយុទ្ធប្រឆាំងនឹងការវាយប្រហារ MITM និងការក្លែងបន្លំចរាចរ DNS (ឧទាហរណ៍ នៅពេលភ្ជាប់ទៅ Wi-Fi សាធារណៈ) ប្រឆាំង ការទប់ស្កាត់នៅកម្រិត DNS (DNS-over-HTTPS មិនអាចជំនួស VPN ក្នុងការឆ្លងកាត់ការទប់ស្កាត់ដែលបានអនុវត្តនៅកម្រិត DPI) ឬសម្រាប់ការរៀបចំការងារនៅពេលដែលវាមិនអាចចូលប្រើម៉ាស៊ីនមេ DNS ដោយផ្ទាល់ (ឧទាហរណ៍ នៅពេលធ្វើការតាមរយៈប្រូកស៊ី)។ ប្រសិនបើនៅក្នុងស្ថានភាពធម្មតា សំណើ DNS ត្រូវបានផ្ញើដោយផ្ទាល់ទៅម៉ាស៊ីនមេ DNS ដែលកំណត់ក្នុងការកំណត់ប្រព័ន្ធ នោះក្នុងករណី DNS-over-HTTPS សំណើដើម្បីកំណត់អាសយដ្ឋាន IP របស់ម៉ាស៊ីនត្រូវបានរុំព័ទ្ធក្នុងចរាចរ HTTPS ហើយផ្ញើទៅម៉ាស៊ីនមេ HTTP ដែលជាកន្លែងដែល អ្នកដោះស្រាយដំណើរការសំណើតាមរយៈ Web API ។

“DNS over TLS” ខុសពី “DNS over HTTPS” ក្នុងការប្រើប្រាស់ពិធីការ DNS ស្តង់ដារ (ជាធម្មតាច្រកបណ្តាញ 853 ត្រូវបានប្រើ) រុំក្នុងបណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបដែលបានរៀបចំដោយប្រើពិធីការ TLS ជាមួយនឹងការត្រួតពិនិត្យសុពលភាពម៉ាស៊ីនតាមរយៈវិញ្ញាបនបត្រ TLS/SSL ដែលបានបញ្ជាក់ ដោយអាជ្ញាធរបញ្ជាក់។ ស្តង់ដារ DNSSEC ដែលមានស្រាប់ប្រើការអ៊ិនគ្រីបដើម្បីផ្ទៀងផ្ទាត់អតិថិជន និងម៉ាស៊ីនមេ ប៉ុន្តែមិនការពារចរាចរណ៍ពីការស្ទាក់ចាប់ និងមិនធានាការសម្ងាត់នៃសំណើ។

ប្រភព: opennet.ru