ProHoster > Blog > Internet Neiegkeeten > BIND DNS Server 9.16.0 Verëffentlecht

BIND DNS Server 9.16.0 Verëffentlecht

No 11 Méint Entwécklung huet den ISC Konsortium agefouert Déi éischt stabil Verëffentlechung vun enger neier bedeitender Branche vum BIND 9.16 DNS Server. Ënnerstëtzung fir d'Branche 9.16 gëtt fir dräi Joer bis den 2. Trimester 2023 als Deel vun engem erweiderten Ënnerstëtzungszyklus zur Verfügung gestallt. Updates fir déi viregt LTS Branche 9.11 gi weider bis Dezember 2021 verëffentlecht. Ënnerstëtzung fir Branche 9.14 wäert an dräi Méint ophalen.

Haaptstrooss Innovatiounen:

  • KASP (Key and Signing Policy) bäigefüügt, e vereinfachte Wee fir DNSSEC-Schlësselen an digital Ënnerschrëften ze verwalten, baséiert op Astellungsregelen definéiert mat der "dnssec-policy" Direktiv. Dës Direktiv erlaabt Iech d'Generatioun vun den néidegen neie Schlësselen fir DNS-Zonen an d'automatesch Uwendung vun ZSK- a KSK-Schlësselen ze konfiguréieren.
  • Den Netz-Subsystem gouf wesentlech nei designt an op en asynchronen Ufroveraarbechtungsmechanismus gewiesselt, deen baséiert op der Bibliothéik libv.
    D'Wiederaarbecht huet nach keng sichtbar Ännerunge gefouert, awer an zukünfteg Verëffentlechungen gëtt et d'Méiglechkeet fir e puer bedeitend Leeschtungsoptimiséierungen ëmzesetzen an Ënnerstëtzung fir nei Protokoller wéi DNS iwwer TLS ze addéieren.

  • Verbesserte Prozess fir d'Gestioun vun DNSSEC Vertrauensankeren (Trustanker, en ëffentleche Schlëssel, deen un eng Zone gebonnen ass fir d'Authentizitéit vun dëser Zone z'iwwerpréiwen). Amplaz vun de vertraut Schlësselen a verwalteten Schlësselen Astellungen, déi elo ofgeschaaft ginn, ass eng nei Vertrauensanker Direktiv proposéiert ginn, déi Iech erlaabt béid Zorte vu Schlësselen ze managen.

    Wann Dir Vertrauensanker mat dem initial-Schlëssel Schlësselwuert benotzt, ass d'Behuele vun dëser Direktiv identesch mat verwalteten Schlësselen, d.h. definéiert d'Vertrauensanker-Astellung am Aklang mat RFC 5011. Wann Dir Vertrauensanker mat dem statesche Schlëssel Schlësselwuert benotzt, entsprécht d'Verhalen der Vertrauensschlëssel Direktiv, d.h. definéiert e persistent Schlëssel deen net automatesch aktualiséiert gëtt. Trust-anchors bitt och zwee méi Schlësselwieder, initial-ds a statesch-ds, déi Iech erlaben Vertrauensanker am Format ze benotzen DS (Delegatioun Signer) amplaz DNSKEY, wat et méiglech mécht Bindungen fir Schlësselen ze konfiguréieren déi nach net publizéiert goufen (d'IANA Organisatioun plangt d'DS Format fir Kärzonschlësselen an Zukunft ze benotzen).

  • D'Optioun "+ yaml" gouf an d'Dig, mdig an delv Utilities bäigefüügt fir d'Ausgab am YAML Format.
  • D'Optioun "+[nee] onerwaart" gouf zum Dig-Utility bäigefüügt, wat den Empfang vun Äntwerte vun anere Hosten erlaabt wéi de Server, un deen d'Ufro geschéckt gouf.
  • D'Optioun "+[no]expandaaaa" bäigefüügt fir Utility ze verdauen, wat verursaacht datt IPv6 Adressen an AAAA records a voller 128-Bit Representatioun ugewise ginn, anstatt am RFC 5952 Format.
  • D'Fäegkeet bäigefüügt fir Gruppe vu Statistikkanäl ze wiesselen.
  • DS an CDS records ginn elo nëmme generéiert baséiert op SHA-256 Hashes (Generatioun baséiert op SHA-1 gouf gestoppt).
  • Fir DNS Cookie (RFC 7873) ass de Standardalgorithmus SipHash 2-4, an d'Ënnerstëtzung fir HMAC-SHA gouf gestoppt (AES gëtt behalen).
  • D'Ausgab vun den dnssec-signzone an dnssec-verify Kommandoen gëtt elo op Standardoutput (STDOUT) geschéckt, an nëmme Feeler an Warnunge ginn op STDERR gedréckt (d'-f Optioun dréckt och déi ënnerschriwwen Zone). D'Optioun "-q" gouf bäigefüügt fir den Ausgang ze muten.
  • Den DNSSEC Validatiounscode gouf ëmgeschafft fir Code Duplikatioun mat anere Subsystemer ze eliminéieren.
  • Fir Statistiken am JSON Format ze weisen, kann elo nëmmen d'JSON-C Bibliothéik benotzt ginn. D'Konfiguratiounsoptioun "--with-libjson" gouf op "--with-json-c" ëmbenannt.
  • De Konfiguratiounsskript ass net méi Standard op "--sysconfdir" an /etc an "--localstatedir" an /var, ausser "--Präfix" ass uginn. D'Standardweeër sinn elo $Prefix/etc an $Prefix/var, wéi am Autoconf benotzt.
  • Geläscht Code deen den DLV (Domain Look-aside Verification, dnssec-lookaside option) Service implementéiert, deen am BIND 9.12 ofgeschaaft gouf, an den assoziéierten dlv.isc.org Handler gouf am 2017 behënnert. D'DLVs erofhuelen huet de BIND Code vun onnéidege Komplikatiounen befreit.

Source: opennet.ru

Setzt e Commentaire