BIND DNS серверийг хөгжүүлэгчид HTTPS (DoH, DNS over HTTPS) болон DNS over TLS (DoT, DNS over TLS) технологийн серверийн дэмжлэг, түүнчлэн аюулгүй байдлыг хангах XFR-over-TLS механизмыг нэмж зарлалаа. серверүүдийн хооронд DNS бүсийн агуулгыг дамжуулах. DoH-г 9.17 хувилбар дээр турших боломжтой бөгөөд 9.17.10 хувилбараас хойш DoT дэмжлэг үзүүлж байна. Тогтворжсоны дараа DoT болон DoH-ийн дэмжлэгийг тогтвортой 9.17.7 салбар руу шилжүүлнэ.
DoH-д хэрэглэгдэж буй HTTP/2 протоколын хэрэгжилт нь ассемблерийн хамаарлын тоонд багтсан nghttp2 номын санг ашиглахад суурилдаг (цаашид номын санг нэмэлт хамаарлын тоонд шилжүүлэхээр төлөвлөж байна). Шифрлэгдсэн (TLS) болон шифрлэгдээгүй HTTP/2 холболтыг хоёуланг нь дэмждэг. Тохиромжтой тохиргоог хийснээр нэг нэртэй процесс нь зөвхөн уламжлалт DNS асуулгад төдийгүй DoH (DNS-over-HTTPS) болон DoT (DNS-over-TLS) ашиглан илгээсэн асуулгад үйлчлэх боломжтой болсон. Үйлчлүүлэгч тал дахь HTTPS дэмжлэг (ухах) хараахан хэрэгжээгүй байна. XFR-over-TLS дэмжлэг нь дотогшоо болон гадагш чиглэсэн хүсэлтэд боломжтой.
DoH болон DoT ашиглан хүсэлтийн боловсруулалтыг сонсох удирдамжид http болон tls сонголтуудыг нэмснээр идэвхжүүлдэг. Шифрлэгдээгүй DNS-over-HTTP-г дэмжихийн тулд тохиргоон дотроос "tls none" гэж зааж өгөх хэрэгтэй. Түлхүүрүүд нь "tls" хэсэгт тодорхойлогддог. DoT-д зориулсан 853, DoH-д 443, HTTP-с хэтрүүлэх DNS-д зориулсан 80-ийн өгөгдмөл сүлжээний портуудыг tls-порт, https-порт болон http-портын параметрүүдээр дамжуулан дарж болно. Жишээ нь: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; сонголтууд { https-порт 443; сонсох боломжтой порт 443 tls local-tls http myserver {ямар ч;}; }
BIND дахь DoH-ийн хэрэгжилтийн онцлогуудын дунд интеграцчлалыг ерөнхий тээвэрлэлт гэж тэмдэглэсэн бөгөөд үүнийг зөвхөн шийдвэрлэгч рүү илгээсэн үйлчлүүлэгчийн хүсэлтийг боловсруулахаас гадна серверүүдийн хооронд өгөгдөл солилцох, эрх бүхий DNS серверээр бүсүүдийг шилжүүлэх, мөн ашиглах боломжтой. бусад DNS дамжуулалтаар дэмжигдсэн аливаа хүсэлтийг боловсруулах үед .
Өөр нэг онцлог нь TLS сертификатыг өөр системд (жишээлбэл вэб сервер бүхий дэд бүтцэд) хадгалж, бусад ажилтнуудын засвар үйлчилгээ хийх нөхцөлд шаардлагатай байж болох TLS-ийн шифрлэлтийн ажиллагааг өөр сервер рүү шилжүүлэх чадвар юм. Шифрлэгдээгүй DNS-over-HTTP-ийн дэмжлэгийг дибаг хийхийг хялбарчлах, дотоод сүлжээнд дамжуулах давхарга болгон хэрэгжүүлдэг бөгөөд үүний үндсэн дээр шифрлэлтийг өөр сервер дээр зохион байгуулж болно. Алсын сервер дээр nginx-ийг HTTPS холболтыг вэбсайтуудад хэрхэн зохион байгуулдагтай адил TLS урсгалыг үүсгэхэд ашиглаж болно.
DNS-over-HTTPS нь үйлчилгээ үзүүлэгчдийн DNS серверүүдээр дамжуулан хүссэн хост нэрийн талаарх мэдээлэл алдагдахаас урьдчилан сэргийлэх, MITM халдлага болон DNS урсгалыг орлуулахтай тэмцэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), мөн DNS түвшинд хаалт хийхийг эсэргүүцэхэд (DNS-over-HTTPS-ийг орлож чадахгүй) ашигтай байж болохыг сануулъя. VPN DPI түвшинд хэрэгжүүлсэн хаалтыг тойрч гарах чиглэлээр) эсвэл DNS серверүүд рүү шууд хандах боломжгүй тохиолдолд (жишээлбэл, проксигоор дамжуулан ажиллах үед) ажлыг зохион байгуулах зорилгоор. Ердийн нөхцөлд DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DNS-over-HTTPS тохиолдолд тодорхойлох хүсэлтийг илгээдэг. IP хаягууд Хост нь HTTPS урсгалд багтаагдаж, HTTP сервер рүү илгээгддэг бөгөөд тэнд шийдвэрлэгч нь хүсэлтийг Вэб API-аар дамжуулан боловсруулдаг.
“TLS гаруй DNS” нь TLS/SSL сертификатаар баталгаажуулсан хостын хүчинтэй эсэхийг шалгах TLS протоколыг ашиглан зохион байгуулалттай шифрлэгдсэн холбооны сувагт ороосон стандарт DNS протоколыг (сүлжээний порт 853 ихэвчлэн ашигладаг) ашиглахдаа “HTTPS гаруй DNS”-ээс ялгаатай. баталгаажуулалтын байгууллагаас. Одоо байгаа DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Эх сурвалж: opennet.ru
