Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий «DNS поверх HTTPS» (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.
Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.
Обработка запросов с использованием DoH и DoT включается через добавление опций http и tls в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать «tls none». Ключи определяются в секции «tls». Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например: tls local-tls { key-file «/path/to/priv_key.pem»; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { «/dns-query»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }
Из особенностей реализации DoH в BIND отмечается интеграция в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.
Другой особенности является возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса во внутренней сети, на базе которого на другом сервере может быть организовано шифрование. На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.
Werin em bînin bîra xwe ku DNS-ser-HTTPS dikare ji bo pêşîlêgirtina agahdariya li ser navên mêvandar ên daxwazkirî bi navgîniya pêşkêşkerên DNS-ê yên pêşkêşkeran ve, li dijî êrişên MITM û xapandina seyrûsefera DNS-ê (wek nimûne, dema ku bi Wi-Fi-ya gelemperî ve girêdayî ye), bikêrhatî be. astengkirina di asta DNS-ê de (DNS-ser-HTTPS nikare şûna VPN-ê bigire di derbaskirina astengkirina ku di asta DPI-ê de hatî bicîh kirin) an jî ji bo organîzekirina xebatê gava ku ne gengaz e ku meriv rasterast bigihîje serverên DNS (mînak, dema ku bi navgînek ve dixebitin). Ger di rewşek normal de daxwazên DNS rasterast ji serverên DNS yên ku di veavakirina pergalê de hatine destnîşan kirin têne şandin, wê hingê di mijara DNS-ser-HTTPS de daxwaza destnîşankirina navnîşana IP-ya mêvandar di seyrûsefera HTTPS-ê de tê girtin û ji servera HTTP re tê şandin, li wir. çareserker bi navgîniya Web API-ê daxwazan pêvajoyê dike.
"DNS ser TLS" ji "DNS ser HTTPS" di karanîna protokola DNS-ya standard de cûda dibe (porta torê 853 bi gelemperî tête bikar anîn), ku di kanalek ragihandinê ya şîfrekirî de hatî organîze kirin ku bi protokola TLS ve hatî organîze kirin û bi kontrolkirina derbasdariya mêvandar re bi sertîfîkayên TLS/SSL ve hatî pejirandin. ji hêla rayedarek pejirandinê ve. Standarda DNSSEC ya heyî tenê şîfrekirinê bikar tîne da ku xerîdar û serverê rast bike, lê seyrûseferê ji destgirtinê naparêze û nepenîtiya daxwazan garantî nake.
Source: opennet.ru