Po 11 mėnesių plėtros ISC konsorciumas Pirmasis stabilus naujos reikšmingos BIND 9.16 DNS serverio šakos leidimas. Parama 9.16 šakai bus teikiama trejus metus iki 2 m. II ketvirčio, kaip pratęsto paramos ciklo dalis. Ankstesnio LTS filialo 2023 atnaujinimai ir toliau bus leidžiami iki 9.11 m. gruodžio mėn. Parama filialui 2021 baigsis po trijų mėnesių.
pagrindinis :
- Pridėta KASP (rakto ir pasirašymo politika), supaprastintas DNSSEC raktų ir skaitmeninių parašų valdymo būdas, pagrįstas nustatymo taisyklėmis, apibrėžtomis naudojant „dnssec-policy“ direktyvą. Ši direktyva leidžia sukonfigūruoti reikiamų naujų raktų generavimą DNS zonoms ir automatinį ZSK bei KSK raktų taikymą.
- Tinklo posistemis buvo gerokai pertvarkytas ir perjungtas į asinchroninį užklausų apdorojimo mechanizmą, įdiegtą remiantis biblioteka .
Perdirbimas dar nepadarė matomų pakeitimų, tačiau būsimuose leidimuose bus galima žymiai optimizuoti našumą ir pridėti naujų protokolų, pvz., DNS per TLS, palaikymą. - Patobulintas DNSSEC patikimumo inkarų valdymo procesas (pasitikėjimo inkaras, viešasis raktas, susietas su zona, skirtas patikrinti šios zonos autentiškumą). Vietoj patikimų raktų ir valdomų raktų nustatymų, kurie dabar nebenaudojami, buvo pasiūlyta nauja pasitikėjimo prieraišo direktyva, leidžianti valdyti abiejų tipų raktus.
Naudojant pasitikėjimo inkarus su pradinio rakto raktiniu žodžiu, šios direktyvos elgesys yra identiškas valdomiems raktams, t.y. apibrėžia pasitikėjimo inkaro nustatymą pagal RFC 5011. Naudojant pasitikėjimo prierašus su statinio rakto raktažodžiu, elgsena atitinka patikimų raktų direktyvą, t.y. apibrėžia nuolatinį raktą, kuris nėra automatiškai atnaujinamas. Trust-inchors taip pat siūlo dar du raktinius žodžius, inicialus-ds ir static-ds, kurie leidžia naudoti patikimus inkarus tokiu formatu (Delegation Signer) vietoj DNSKEY, kuris leidžia konfigūruoti dar nepaskelbtų raktų susiejimą (IANA organizacija ateityje planuoja naudoti DS formatą pagrindinės zonos raktams).
- Parinktis „+yaml“ buvo pridėta prie dig, mdig ir delv paslaugų, kad būtų galima išvesti YAML formatu.
- Parinktis „+[no]unexpected“ buvo įtraukta į „Dig“ programą, leidžiančią gauti atsakymus iš kitų kompiuterių nei serveris, kuriam buvo išsiųsta užklausa.
- Pridėta „+[no]expandaaaa“ parinktis, skirta „Dig“ programai, todėl IPv6 adresai AAAA įrašuose rodomi 128 bitų formatu, o ne RFC 5952 formatu.
- Pridėta galimybė perjungti statistikos kanalų grupes.
- DS ir CDS įrašai dabar generuojami tik pagal SHA-256 maišą (generavimas pagal SHA-1 buvo nutrauktas).
- DNS slapuko (RFC 7873) numatytasis algoritmas yra SipHash 2-4, o HMAC-SHA palaikymas buvo nutrauktas (AES išlaikomas).
- Komandų dnssec-signzone ir dnssec-verify išvestis dabar siunčiama į standartinę išvestį (STDOUT), o tik klaidos ir įspėjimai spausdinami į STDERR (parinktis -f taip pat spausdina pasirašytą zoną). Parinktis „-q“ buvo pridėta, kad nutildytų išvestį.
- DNSSEC patvirtinimo kodas buvo perdarytas, kad būtų pašalintas kodo dubliavimas su kitais posistemiais.
- Kad statistika būtų rodoma JSON formatu, dabar galima naudoti tik JSON-C biblioteką. Konfigūravimo parinktis „--with-libjson“ buvo pervadinta į „--with-json-c“.
- Konfigūravimo scenarijus nebėra numatytasis „--sysconfdir“ /etc ir „--localstatedir“ /var, nebent nurodytas „--prefix“. Numatytieji keliai dabar yra $prefix/etc ir $prefix/var, kaip naudojami Autoconf.
- Pašalintas kodas, diegiantis DLV (Domain Look-Aside Verification, dnssec-lookaside parinktis) paslaugą, kuri buvo nebenaudojama BIND 9.12 versijoje, ir susijusi dlv.isc.org tvarkytuvė buvo išjungta 2017 m. Pašalinus DLV, BIND kodas buvo išlaisvintas nuo nereikalingų komplikacijų.
Šaltinis: opennet.ru