По 11 месеци развој, конзорциумот ISC Првото стабилно издание на нова значајна гранка на BIND 9.16 DNS серверот. Поддршката за филијалата 9.16 ќе биде обезбедена три години до вториот квартал од 2 година како дел од продолжениот циклус на поддршка. Ажурирањата за претходната гранка на LTS 2023 ќе продолжат да се објавуваат до декември 9.11 година. Поддршката за филијалата 2021 ќе заврши за три месеци.
Главните :
- Додадено е KASP (Политика за клуч и потпишување), поедноставен начин за управување со DNSSEC клучеви и дигитални потписи, врз основа на правилата за поставување дефинирани со помош на директивата „dnssec-policy“. Оваа директива ви овозможува да го конфигурирате генерирањето на потребните нови клучеви за DNS зоните и автоматската примена на копчињата ZSK и KSK.
- Мрежниот потсистем е значително редизајниран и префрлен на асинхрон механизам за обработка на барања имплементиран врз основа на библиотеката .
Преработката сè уште не резултираше со видливи промени, но во идните изданија ќе обезбеди можност да се имплементираат некои значајни оптимизации на перформансите и да се додаде поддршка за нови протоколи како што е DNS преку TLS. - Подобрен процес за управување со доверливи сидра на DNSSEC (Trust anchor, јавен клуч врзан за зона за да се потврди автентичноста на оваа зона). Наместо поставките за доверливи клучеви и управувани клучеви, кои сега се застарени, предложена е нова директива за прицврстување на доверба која ви овозможува да управувате со двата типа клучеви.
Кога се користат анкери за доверба со клучниот збор со почетен клуч, однесувањето на оваа директива е идентично со управуваните клучеви, т.е. ја дефинира поставката за анкер за доверба во согласност со RFC 5011. Кога се користат прицврстувачи за доверба со клучниот збор со статички клуч, однесувањето одговара на директивата за доверливи клучеви, т.е. дефинира постојан клуч кој не се ажурира автоматски. Trust-anchors, исто така, нуди уште два клучни зборови, иницијални-ds и static-ds, кои ви дозволуваат да користите котви на доверба во формат (Потписник на делегација) наместо DNSKEY, што овозможува да се конфигурираат врски за клучеви кои сè уште не се објавени (организацијата IANA планира да го користи форматот DS за клучевите на основната зона во иднина).
- Опцијата „+yaml“ е додадена во алатките dig, mdig и delv за излез во формат YAML.
- Опцијата „+[не]неочекувано“ е додадена во алатката за ископување, овозможувајќи примање одговори од домаќини различни од серверот на кој е испратено барањето.
- Додадена е опцијата „+[no]expandaaaa“ за копање, што предизвикува IPv6 адресите во записите AAAA да се прикажуваат во целосна 128-битна репрезентација, наместо во формат RFC 5952.
- Додадена е можност за префрлување групи на канали за статистика.
- Записите DS и CDS сега се генерираат само врз основа на хашови SHA-256 (генерацијата базирана на SHA-1 е прекината).
- За DNS Cookie (RFC 7873), стандардниот алгоритам е SipHash 2-4, а поддршката за HMAC-SHA е прекината (AES е задржана).
- Излезот од командите dnssec-signzone и dnssec-verify сега се испраќа на стандарден излез (STDOUT), а само грешките и предупредувањата се печатат на STDERR (опцијата -f ја печати и зоната со знак). Опцијата „-q“ е додадена за да се исклучи звукот на излезот.
- Кодот за валидација DNSSEC е преработен за да се елиминира дуплирањето на кодот со други потсистеми.
- За прикажување статистика во JSON формат, сега може да се користи само библиотеката JSON-C. Опцијата за конфигурирање „--with-libjson“ е преименувана во „--with-json-c“.
- Скриптата за конфигурирање повеќе не е стандардно на „--sysconfdir“ во /etc и „--localstatedir“ во /var освен ако не е наведен „--префикс“. Стандардните патеки сега се $prefix/etc и $prefix/var, како што се користат во Autoconf.
- Отстранет е кодот што ја имплементира услугата DLV (Потврда за поглед настрана од домен, опција dnssec-lookaside), која беше застарена во BIND 9.12, а поврзаниот управувач dlv.isc.org беше оневозможен во 2017 година. Отстранувањето на DLV го ослободи BIND кодот од непотребни компликации.
Извор: opennet.ru