Post duos annos evolutionis, consortium ISC prima stabilis emissio maioris novae rami ligaminis 9.18 DNS servientis dimisit. Firmamentum rami 9.18 tribus annis providebitur usque ad 2 quartam 2025 partem cycli subsidii extensi. Auxilio pro 9.11 ramus mense Martio finietur, et ramus 9.16 medio-2023 sustentabitur. Ad functionem proximae versionis stabilis BIND, ramus experimentalis BIND 9.19.0 formatus est.
Dimissio ligandi 9.18.0 notabilis est ad exsequendam subsidii DNS super HTTPS (DoH, DNS super HTTPS) et DNS super TLS (DoT, DNS super TLS), necnon XOT (XFR-super-TLS) mechanismum. ad securam translationem contentorum DNS zonis inter servientes (zonis mittendis et recipiendis per XoT sustentantur). Cum opportunis uncinis, unus processus nominatus non solum quaestionibus traditis DNS inservire potest, sed etiam interrogationes utentes DNS-super-HTTPS et DNS-super-TLS missae sunt. Cliens subsidium DNS-super-TLS aedificatur in utilitate fode, quae petitiones super TLS mittere potest cum vexillum "+tls" specificatur.
Exsecutio protocolli HTTP/2 adhibitorum in DoH fundatur in usu bibliothecae nghttp, quae inclusa est sicut dependentia conventus libitum. Testimonia pro DoH et DoT ab usuario vel generato automatice ad tempus satus praeberi possunt.
Petitio processus utendi DoH et DoT est facultas addendo optiones "http" et "tls" ad auscultationem directivam. Ad unencrypted DNS-super-HTTP sustinendum, in uncinis βtls nullumβ denotare debes. Claves in sectione "tls" definiuntur. Defalta retis portus 853 pro DoT, 443 pro DoH et 80 pro DNS super-HTTP, per portum, https-portum et parametris http://la. Exempli gratia:
tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { terminos { "/dns-query"; }; }; optiones { https-port 443; audi-on portum 443 tls local-tls http myserver {any;}; }
Una linearum exsecutionis DoH in BIND est facultas encryption movendi operationes pro TLS ad alium servitorem, quae necessaria sit in condicionibus ubi testimoniales TLS in alia systemate reconduntur (exempli gratia, in infrastructura cum servientibus interretialibus) et conservatur. ab aliis personis. Firmamentum pro unencrypted DNS-super-HTTP ad effectum deduci potest ad simpliciorem debugging et sicut iacuit ad transmissionem ad alium servo in retis internis (ad movendum encryptionem ad servo separatum). In servo remoto, nginx mercaturae generare TLS adhiberi potest, similis modo quomodo ligamen HTTPS constituatur pro websites.
Alia notatio est integratio DoH sicut onerariae generalis quae adhiberi potest non solum petitiones clientium ad solutionem tractandum, sed etiam cum communicando inter servientes, cum zonas transferendo ab auctoritative DNS servo, et cum expediendis quaestionibus quibuslibet aliis DNS fultis. onerarias.
Inter defectus qui compensari possunt per inactivare constructum cum DoH/DoT vel encryption movendo alteri servo, generalis complicatio basis codicis eminet - constructo-in HTTP servitore et bibliotheca TLS additae sunt, quae potentia continere possent. vulnerabilities et agite ut vector adiectis in oppugnationibus. Item cum usura DoH, negotiatio crescit.
Recordemur DNS-super-HTTPS utiles esse ad praecavendas notitiarum liberorum notitias de nominibus hospitis petitis per DNS ministrantium provisorum, pugnantes impetus MITM et DNS mercaturae spoofinging (exempli gratia cum connexione cum publico Wi-Fi), contradicendo. interclusio in gradu DNS (DNS-super-HTTPS non potest reponere VPN obiter interclusio in gradu DPI impleta) vel ad opus ordinandum cum DNS servientibus impossibilis est accedere (exempli gratia quando per procuratorem operatur). Si in normali condicione DNS petitiones directe mittuntur ad DNS servientibus in systematis configuratione definitis, tunc in casu DNS super-HTTPS rogatio ut exercitus IP oratio encapsulatur in negotiatione HTTPS et ad HTTP servo mittitur, ubi processus resolventis petit per Web API.
"DNS super TLS" differt ab "DNS super HTTPS" in usu vexillum DNS protocollo (retis port 853 adhiberi solet), involutus in canali communicationis encrypto constituto utens TLS protocollo cum validitate exercitus inhibito per TLS/SSL libellorum certificati. per certificationem auctoritatis. Vexillum DNSSEC existens encryption utitur solum ad authenticas clientis et servientis, sed negotiationem ab interceptione non protegit et petitionum secreto non praestat.
Alia quaedam innovationes;
- Adiectae tcp-accipe quiddam, tcp-mitte quiddam, udp accipias quiddam et udp-mitte-buffer uncinis ad praebendas magnitudinum buffers adhibitorum cum mittendis et recipiendis petitionibus super TCP et UDP. In servientibus occupatis, advenientes buffers adiuvabunt, ut in cacumina negotiationis delaberentur, et decrescentes eos adiuvabit ut memoriam vetustatis petitionibus pigris exueret.
- Novum categoriam stipendii "rpz-passthru" adiectum est, quod permittit ut separatim stipes RPZ (Responsionis Zonae) actiones procuret.
- In sectione responsione-consilii, optio "nsdname-expectare-recurse" addita est, cum ad "non" positae sunt, regulae RPZ NSDNAME tantum applicantur si servientium nomen auctoritatum praesens in cella pro petitione inveniantur, secus RPZ NSDNAME regula neglecta est, indicium autem in curriculo restituit et petitiones subsequentes applicat.
- Pro monumentis cum generibus HTTPS et SVCB, processus sectionis "ADDITIONALIS" effectum est.
- Consuetudo adiectae renovationis-consilii rationes regulae - subdomain-rhs et ms-subdomain-rhs propriae, quae te permittit ut renovationem SRV et PTR monumentis circumscribere concedas. Renovatio-consilii caudices facultatem quoque addunt ut limites numero monumentorum singulis pro cuiusque speciei statuendi sint.
- Adiectae sunt informationes de protocollo onerariis (UDP, TCP, TLS, HTTPS) et DNS64 praefixis utilitatis fossuris. Ad proposita debugging, facultatem fode addidit specificare petitionem identifier (fode + qid= ).
- Addidit subsidium pro bibliotheca OpenSSL 3.0.
- Ad quaestiones electronicas cum IP fragmentis componendis cum magna DNS nuntia, quae a DNS Flag Day 2020 notantur, codicem qui magnitudinem quiddam EDNS componit, cum nulla responsio ad petitionem a solutione remota est. Magnitudo quiddam EDNS nunc constantibus (edns-udp-size) pro omnibus petitionibus exitu constituitur.
- Systema aedificandi switched ad utens coniunctio autoconf, automake et libtool est.
- Firmamentum pro fasciculis zonae in "mappa" forma (mappa masterfile-format) discontinuata est. Usores huius formati commendantur zonas convertendas ad usum rudis formatorum utilitatem nomine compilezonum.
- Auxilio pro maioribus DLZ (Dynamice Loadable Zonae) rectoribus discontinuata est, modulorum DLZ substituta.
- Aedificare et currere subsidium pro Fenestra suggestu discontinuatum est. Ramus ultimus qui in Windows erigi potest 9.16.
Source: opennet.ru