Програмерите на BIND DNS серверот најавија додавање на серверска поддршка за технологиите DNS преку HTTPS (DoH, DNS преку HTTPS) и DNS преку TLS (DoT, DNS преку TLS), како и механизмот XFR-over-TLS за безбедно пренесување на содржината на DNS зоните помеѓу серверите. DoH е достапна за тестирање во изданието 9.17, а поддршката за DoT е присутна од објавувањето 9.17.10. По стабилизацијата, поддршката за DoT и DoH ќе биде вратена во стабилната гранка 9.17.7.
Имплементацијата на протоколот HTTP/2 што се користи во DoH се заснова на употребата на библиотеката nghttp2, која е вклучена меѓу зависностите на склопот (во иднина, библиотеката се планира да се префрли на бројот на опционални зависности). Поддржани се и шифрирани (TLS) и нешифрирани HTTP/2 конекции. Со соодветните поставки, еден именуван процес сега може да опслужува не само традиционални DNS барања, туку и прашања испратени со помош на DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддршката за HTTPS на клиентската страна (копање) сè уште не е имплементирана. Поддршката XFR-over-TLS е достапна и за влезни и за излезни барања.
Обработката на барањата со помош на DoH и DoT е овозможена со додавање на опциите http и tls во директивата за слушање. За поддршка на нешифриран DNS-over-HTTP, треба да наведете „tls none“ во поставките. Копчињата се дефинирани во делот „tls“. Стандардните мрежни порти 853 за DoT, 443 за DoH и 80 за DNS-over-HTTP може да се отфрлат преку параметрите tls-port, https-port и http-port. На пример: tls local-tls { key-file "/path/to/priv_key.pem"; cert-датотека "/path/to/cert_chain.pem"; }; http локален-http-сервер { крајни точки { "/dns-query"; }; }; опции { https-порта 443; порта за слушање 443 tls local-tls http myserver {any;}; }
Меѓу карактеристиките на имплементацијата на DoH во BIND, интеграцијата е забележана како општ транспорт, кој може да се користи не само за обработка на барањата на клиентот до решавачот, туку и при размена на податоци помеѓу серверите, при пренос на зони од авторитетен DNS сервер и при обработка на какви било барања поддржани од други DNS транспорти.
Друга карактеристика е можноста да се преместат операциите за шифрирање за TLS на друг сервер, што може да биде неопходно во услови кога TLS сертификатите се складирани на друг систем (на пример, во инфраструктура со веб-сервери) и се одржуваат од друг персонал. Поддршката за нешифриран DNS-over-HTTP е имплементирана за да се поедностави дебагирањето и како слој за проследување во внатрешната мрежа, врз основа на која може да се организира шифрирање на друг сервер. На оддалечен сервер, nginx може да се користи за генерирање на сообраќај TLS, слично како што е организирано врзувањето HTTPS за веб-локации.
Да потсетиме дека DNS-over-HTTPS може да биде корисен за спречување на протекување информации за бараните имиња на домаќините преку DNS серверите на провајдерите, борба против нападите MITM и измама на сообраќајот DNS (на пример, при поврзување на јавен Wi-Fi), спротивставување блокирање на ниво на DNS (DNS-over-HTTPS не може да замени VPN при заобиколување на блокирањето имплементирано на ниво на DPI) или за организирање работа кога е невозможно директно да се пристапи до серверите DNS (на пример, кога се работи преку прокси). Ако во нормална ситуација барањата за DNS директно се испраќаат до серверите DNS дефинирани во системската конфигурација, тогаш во случај на DNS-over-HTTPS барањето за одредување на IP адресата на домаќинот е инкапсулирано во сообраќајот HTTPS и се испраќа до серверот HTTP, каде што решавачот обработува барања преку Web API.
„DNS преку TLS“ се разликува од „DNS преку HTTPS“ во употребата на стандардниот DNS протокол (обично се користи мрежната порта 853), обвиткана во шифриран комуникациски канал организиран со помош на протоколот TLS со проверка на валидноста на домаќинот преку TLS/SSL сертификати сертифицирани од орган за сертификација. Постојниот стандард DNSSEC користи шифрирање само за автентикација на клиентот и серверот, но не го штити сообраќајот од пресретнување и не гарантира доверливост на барањата.
Извор: opennet.ru