11 айлык иштеп чыгуудан кийин ISC консорциуму BIND 9.16 DNS серверинин жаңы маанилүү бутагынын биринчи туруктуу чыгарылышы. 9.16 тармагын колдоо кеңейтилген колдоо циклинин алкагында 2-жылдын 2023-кварталына чейин үч жылга берилет. Мурунку LTS бутагынын 9.11 жаңыртуулары 2021-жылдын декабрына чейин чыгарыла берет. 9.14 тармагын колдоо үч айдан кийин аяктайт.
негизги :
- "dnssec-policy" директивасы аркылуу аныкталган эрежелерди орнотуунун негизинде DNSSEC ачкычтарын жана санарип кол тамгаларын башкаруунун жөнөкөйлөштүрүлгөн жолу KASP (Ачкыч жана кол коюу саясаты) кошулду. Бул директива DNS зоналары үчүн зарыл болгон жаңы ачкычтарды түзүү жана ZSK жана KSK баскычтарын автоматтык түрдө колдонууну конфигурациялоого мүмкүндүк берет.
- Тармактык подсистема олуттуу түрдө кайра иштелип чыккан жана китепкананын негизинде ишке ашырылган асинхрондук суроо-талаптарды иштетүү механизмине которулган. .
Кайра иштеп чыгуу көзгө көрүнөрлүк өзгөрүүлөргө алып келе элек, бирок келечектеги чыгарылыштарда ал кээ бир олуттуу аткарууну оптималдаштырууга мүмкүндүк берет жана TLS аркылуу DNS сыяктуу жаңы протоколдор үчүн колдоо кошот. - DNSSEC ишеним анкерлерин башкаруу процесси жакшыртылган (Ишенимдүү казык, бул зонанын аныктыгын текшерүү үчүн зонага байланган ачык ачкыч). Азыр эскирген ишенимдүү ачкычтардын жана башкарылуучу ачкычтардын жөндөөлөрүнүн ордуна, ачкычтардын эки түрүн тең башкарууга мүмкүндүк берген жаңы ишеним анкерлеринин директивасы сунушталды.
Баштапкы ачкыч сөз менен ишеним анкерлерин колдонууда, бул директиванын жүрүм-туруму башкарылуучу ачкычтарга окшош, б.а. RFC 5011 ылайык ишеним анкеринин жөндөөсүн аныктайт. Static-ачкыч сөзү менен ишеним анкерлерин колдонууда жүрүм-турум ишенимдүү ачкычтар директивасына туура келет, б.а. автоматтык түрдө жаңыланбаган туруктуу ачкычты аныктайт. Trust-anchors дагы эки ачкыч сөздөрдү сунуштайт, баштапкы-ds жана static-ds, алар форматта ишеним анкерлерин колдонууга мүмкүндүк берет (Delegation Signer) DNSKEY ордуна, бул али жарыялана элек ачкычтар үчүн байланыштарды конфигурациялоого мүмкүндүк берет (IANA уюму келечекте негизги зона ачкычтары үчүн DS форматын колдонууну пландаштырууда).
- “+yaml” опциясы YAML форматында чыгаруу үчүн dig, mdig жана delv утилиталарына кошулду.
- "+[жок]күтүүсүз" опциясы казуу программасына кошулуп, суроо-талап жөнөтүлгөн серверден башка хосттордон жоопторду алууга мүмкүндүк берет.
- AAAA жазууларындагы IPv6 даректерин RFC 128 форматында эмес, толук 5952 биттик көрсөтүүдө көрсөтүүгө себеп болгон утилитаны казуу үчүн "+[no]expandaaaa" опциясы кошулду.
- Статистикалык каналдардын топторун алмаштыруу мүмкүнчүлүгү кошулду.
- DS жана CDS жазуулары азыр SHA-256 хэштеринин негизинде гана түзүлөт (SHA-1ге негизделген генерация токтотулган).
- DNS Cookie (RFC 7873) үчүн демейки алгоритм SipHash 2-4 жана HMAC-SHA колдоо токтотулган (AES сакталат).
- dnssec-signzone жана dnssec-verify буйруктарынын чыгарылышы эми стандарттык чыгарууга (STDOUT) жөнөтүлөт жана STDERRге каталар жана эскертүүлөр гана басылып чыгат (-f параметри кол коюлган зонаны да басып чыгарат). Чыгарууну өчүрүү үчүн "-q" опциясы кошулду.
- DNSSEC валидация коду башка подсистемалар менен коддун кайталанышын жок кылуу үчүн кайра иштетилди.
- JSON форматында статистиканы көрсөтүү үчүн азыр JSON-C китепканасын гана колдонсо болот. "--with-libjson" конфигурациялоо опциясы "--with-json-c" деп өзгөртүлдү.
- Конфигурациялоо скрипти мындан ары "--prefix" көрсөтүлбөсө, /etc ичинде "--sysconfdir" жана /var ичинде "--localstatedir" демейки болуп калбайт. Демейки жолдор азыр Autoconf ичинде колдонулгандай $prefix/etc жана $prefix/var болуп саналат.
- BIND 9.12де эскирген DLV (Доменди карап чыгуу, dnssec-lookaside опциясы) кызматын ишке ашыруучу код алынып салынды жана ага байланыштуу dlv.isc.org иштеткич 2017-жылы өчүрүлгөн. DLV'лерди алып салуу BIND кодун керексиз кыйынчылыктардан бошотту.
Source: opennet.ru