Tincimenta vinculorum DNS servitoris nuntiaverunt additionem subsidii servientis pro DNS super HTTPS (DoH, DNS super HTTPS) et DNS super TLS (DoT, DNS super TLS) technologiae, necnon XFR-super-TLS mechanismum pro secure. DNS zonarum contenta transferendo inter servers. DoH praesto est ad probandum in emissione 9.17, et DoT subsidium praesens cum emissione 9.17.10. Post stabilizationem, firmamentum DoT et DoH ad 9.17.7 ramum stabile reducentur.
Exsecutio protocolli HTTP/2 adhibitorum in DoH innititur usu bibliothecae nghttp2, quae inter clientelas conventus includitur (in posterum bibliotheca destinatur ad numerum clientium libitum transferendum). Utraeque encryptae (TLS) et nexus unencryptae HTTP/2 sustentantur. Cum congruis uncinis, unus processus nominatus non solum quaestionibus traditis DNS inservire potest, sed etiam interrogationes missis adhibitis DoH (DNS-over-HTTPS) et DoT (DNS-over-TLS). HTTPS subsidium in parte clientis nondum impletur. XFR-super-TLS subsidia praesto sunt petitiones tam inligatas quam outbound.
Petitio processus utendi DoH et DoT est facultas addendo http et tls optiones ad auscultandum in directiva. Ad unencrypted DNS-super-HTTP sustinendum, in uncinis "tls nullum" denotare debes. Claves in sectione "tls" definiuntur. Defalta retis portas 853 pro DoT, 443 pro DoH et 80 pro DNS super-HTTP, opprimi possunt per portum, https-portum et parametris http://la. For example: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { terminos { "/dns-query"; }; }; optiones { https-port 443; audi-on portum 443 tls local-tls http myserver {any;}; }
Inter lineamenta exsecutionis DoH in BIND, integratio notatur oneraria generalis, quae adhiberi potest non solum petitiones clientium ad solutionem processus, sed etiam cum notitia permutationis inter servers, cum zonis transferendis ab auctoritative DNS server, et cum aliqua petitiones dispensando aliis DNS onerariis subnixa.
Aliud pluma est facultas operationes encryptionis movendi pro TLS alteri servo, quae necessariae esse possunt in condicionibus ubi testimoniales TLS in alia systemate reconduntur (exempli gratia, in infrastructura cum servientibus interretialibus) et ab aliis curatoribus conservatur. Support pro unencrypted DNS-super-HTTP ad simpliciorem debugging perficiendum est et sicut iacuit ad transmissionem in retis internis, secundum quod encryption in alio servo constitui potest. In servo remoto, nginx mercaturae generare TLS adhiberi potest, similis modo quomodo ligamen HTTPS constituatur pro websites.
Recordemur DNS-super-HTTPS utiles esse ad praecavendas notitiarum liberorum notitias de nominibus hospitis petitis per DNS ministrantium provisorum, pugnantes impetus MITM et DNS mercaturae spoofinging (exempli gratia cum connexione cum publico Wi-Fi), contradicendo. interclusio in gradu DNS (DNS-super-HTTPS non potest reponere VPN obiter interclusio in gradu DPI impleta) vel ad opus ordinandum cum DNS servientibus impossibilis est accedere (exempli gratia quando per procuratorem operatur). Si in normali condicione DNS petitiones directe mittuntur ad DNS servientibus in systematis configuratione definitis, tunc in casu DNS super-HTTPS rogatio ut exercitus IP oratio encapsulatur in negotiatione HTTPS et ad HTTP servo mittitur, ubi processus resolventis petit per Web API.
"DNS super TLS" differt ab "DNS super HTTPS" in usu vexillum DNS protocollo (retis port 853 adhiberi solet), involutus in canali communicationis encrypto constituto utens TLS protocollo cum validitate exercitus inhibito per TLS/SSL libellorum certificati. per certificationem auctoritatis. Vexillum DNSSEC existens encryption utitur solum ad authenticas clientis et servientis, sed negotiationem ab interceptione non protegit et petitionum secreto non praestat.
Source: opennet.ru