Ireo mpamorona ny server BIND DNS dia nanambara ny fanampian'ny mpizara DNS amin'ny HTTPS (DoH, DNS amin'ny HTTPS) sy DNS amin'ny teknolojia TLS (DoT, DNS amin'ny TLS), ary koa ny XFR-over-TLS mekanika ho fiarovana. mamindra ny votoatin'ny faritra DNS eo amin'ny mpizara. Ny DoH dia azo andrana amin'ny famoahana 9.17, ary ny fanohanana DoT dia efa nisy hatramin'ny famoahana 9.17.10. Aorian'ny fanamafisana, ny fanohanana DoT sy DoH dia haverina amin'ny sampana 9.17.7 stable.
Ny fampiharana ny protocol HTTP/2 ampiasaina ao amin'ny DoH dia mifototra amin'ny fampiasana ny fitehirizam-boky nghttp2, izay tafiditra ao anatin'ireo fiankinan-doha amin'ny fivoriambe (amin'ny ho avy, ny tranomboky dia kasaina hafindra amin'ny isan'ny miankina amin'ny safidy). Samy tohanan'ny fifandraisana HTTP/2 misy encrypted (TLS) sy HTTP/XNUMX. Miaraka amin'ny fanovana mety, ny dingana tokana nomena anarana izao dia afaka manompo tsy amin'ny fangatahana DNS mahazatra, fa koa amin'ny fangatahana alefa amin'ny fampiasana DoH (DNS-over-HTTPS) sy DoT (DNS-over-TLS). Ny fanohanana HTTPS eo amin'ny lafiny mpanjifa (dig) dia tsy mbola ampiharina. Ny fanohanana XFR-over-TLS dia azo ampiasaina ho an'ny fangatahana miditra sy mivoaka.
Ny fanodinana fangatahana mampiasa DoH sy DoT dia alefa amin'ny fampidirana ny safidy http sy tls amin'ny torolalana mihaino. Mba hanohanana ny DNS-over-HTTP tsy voafehy, dia tokony hamaritra "tls none" ao amin'ny fikandrana ianao. Ny fanalahidy dia voafaritra ao amin'ny fizarana "tls". Ny seranan-tserasera default 853 ho an'ny DoT, 443 ho an'ny DoH ary 80 ho an'ny DNS-over-HTTP dia azo ovaina amin'ny alàlan'ny tls-port, https-port ary http-port paramètre. Ohatra: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; safidy { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }
Anisan'ny endri-javatra amin'ny fampiharana ny DoH ao amin'ny BIND, ny fampidirana dia voamarika ho toy ny fitaterana ankapobeny, izay azo ampiasaina tsy amin'ny fikarakarana ny fangatahan'ny mpanjifa amin'ny mpanapa-kevitra, fa koa amin'ny fifanakalozana data eo amin'ny mpizara, rehefa mamindra faritra amin'ny alàlan'ny mpizara DNS manana fahefana, ary rehefa mikarakara ny fangatahana tohanan'ny fitaterana DNS hafa.
Ny endri-javatra iray hafa dia ny fahafahana mamindra ny asa fanafenana ho an'ny TLS mankany amin'ny lohamilina hafa, izay mety ilaina amin'ny toe-javatra misy ny fanamarinana TLS voatahiry amin'ny rafitra hafa (ohatra, amin'ny fotodrafitrasa misy mpizara tranonkala) ary tazonin'ny mpiasa hafa. Ny fanohanana ho an'ny DNS-over-HTTP tsy voafehy dia ampiharina mba hanatsorana ny debugging ary ho sosona ho an'ny fandefasana ao amin'ny tambajotra anatiny, mifototra amin'ny hoe azo alamina amin'ny server hafa ny encryption. Amin'ny mpizara lavitra, ny nginx dia azo ampiasaina hamoronana fifamoivoizana TLS, mitovy amin'ny fomba nandaminana ny famatorana HTTPS ho an'ny tranokala.
Ampahatsiahivinay anareo fa ny DNS-over-HTTPS dia mety ilaina amin'ny fisorohana ny fivoahan'ny fampahalalana momba ny anaran'ny mpampiantrano angatahina amin'ny alàlan'ny mpizara DNS an'ny mpamatsy, ny ady amin'ny fanafihana MITM sy ny fanoloana ny fifamoivoizana DNS (ohatra, rehefa mifandray amin'ny Wi-Fi ho an'ny daholobe), ary ny fanoherana ny fanakanana amin'ny ambaratonga DNS (DNS-over-HTTPS dia tsy afaka manolo izany). VPN (ao amin'ny sehatry ny fandalovana ny fanakanana ampiharina amin'ny ambaratonga DPI) na ho an'ny fandaminana asa raha toa ka tsy azo atao ny miditra mivantana amin'ny mpizara DNS (ohatra, rehefa miasa amin'ny alàlan'ny proxy). Raha amin'ny toe-javatra mahazatra dia alefa mivantana any amin'ny mpizara DNS voafaritra ao amin'ny fikirakirana ny rafitra ny fangatahana DNS, raha ny DNS-over-HTTPS kosa dia ny fangatahana famaritana adiresy IP Voafefy ao anatin'ny fifamoivoizana HTTPS ny mpampiantrano ary alefa any amin'ny mpizara HTTP, izay andraisan'ny resolver ny fangatahana amin'ny alàlan'ny Web API.
Ny "DNS over TLS" dia tsy mitovy amin'ny "DNS over HTTPS" amin'ny fampiasana ny protocol DNS mahazatra (fampiasana matetika ny seranan-tserasera 853), nofonosina amin'ny fantsom-pifandraisana voatahiry voalamina amin'ny alàlan'ny protocol TLS miaraka amin'ny fanamarinana ny maha-marina ny mpampiantrano amin'ny alàlan'ny fanamarinana TLS/SSL voamarina. amin'ny alalan'ny fahefana fanamarinana. Ny fenitra DNSSEC efa misy dia mampiasa encryption fotsiny mba hanamarinana ny mpanjifa sy ny mpizara, fa tsy miaro ny fifamoivoizana amin'ny fisakanana ary tsy miantoka ny tsiambaratelon'ny fangatahana.
Source: opennet.ru
