BIND DNS серверийг хөгжүүлэгчид HTTPS (DoH, DNS over HTTPS) болон DNS over TLS (DoT, DNS over TLS) технологийн серверийн дэмжлэг, түүнчлэн аюулгүй байдлыг хангах XFR-over-TLS механизмыг нэмж зарлалаа. серверүүдийн хооронд DNS бүсийн агуулгыг дамжуулах. DoH-г 9.17 хувилбар дээр турших боломжтой бөгөөд 9.17.10 хувилбараас хойш DoT дэмжлэг үзүүлж байна. Тогтворжсоны дараа DoT болон DoH-ийн дэмжлэгийг тогтвортой 9.17.7 салбар руу шилжүүлнэ.
DoH-д хэрэглэгдэж буй HTTP/2 протоколын хэрэгжилт нь ассемблерийн хамаарлын тоонд багтсан nghttp2 номын санг ашиглахад суурилдаг (цаашид номын санг нэмэлт хамаарлын тоонд шилжүүлэхээр төлөвлөж байна). Шифрлэгдсэн (TLS) болон шифрлэгдээгүй HTTP/2 холболтыг хоёуланг нь дэмждэг. Тохиромжтой тохиргоог хийснээр нэг нэртэй процесс нь зөвхөн уламжлалт DNS асуулгад төдийгүй DoH (DNS-over-HTTPS) болон DoT (DNS-over-TLS) ашиглан илгээсэн асуулгад үйлчлэх боломжтой болсон. Үйлчлүүлэгч тал дахь HTTPS дэмжлэг (ухах) хараахан хэрэгжээгүй байна. XFR-over-TLS дэмжлэг нь дотогшоо болон гадагш чиглэсэн хүсэлтэд боломжтой.
DoH болон DoT ашиглан хүсэлтийн боловсруулалтыг сонсох удирдамжид http болон tls сонголтуудыг нэмснээр идэвхжүүлдэг. Шифрлэгдээгүй DNS-over-HTTP-г дэмжихийн тулд тохиргоон дотроос "tls none" гэж зааж өгөх хэрэгтэй. Түлхүүрүүд нь "tls" хэсэгт тодорхойлогддог. DoT-д зориулсан 853, DoH-д 443, HTTP-с хэтрүүлэх DNS-д зориулсан 80-ийн өгөгдмөл сүлжээний портуудыг tls-порт, https-порт болон http-портын параметрүүдээр дамжуулан дарж болно. Жишээ нь: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; сонголтууд { https-порт 443; сонсох боломжтой порт 443 tls local-tls http myserver {ямар ч;}; }
BIND дахь DoH-ийн хэрэгжилтийн онцлогуудын дунд интеграцчлалыг ерөнхий тээвэрлэлт гэж тэмдэглэсэн бөгөөд үүнийг зөвхөн шийдвэрлэгч рүү илгээсэн үйлчлүүлэгчийн хүсэлтийг боловсруулахаас гадна серверүүдийн хооронд өгөгдөл солилцох, эрх бүхий DNS серверээр бүсүүдийг шилжүүлэх, мөн ашиглах боломжтой. бусад DNS дамжуулалтаар дэмжигдсэн аливаа хүсэлтийг боловсруулах үед .
Өөр нэг онцлог нь TLS сертификатыг өөр системд (жишээлбэл вэб сервер бүхий дэд бүтцэд) хадгалж, бусад ажилтнуудын засвар үйлчилгээ хийх нөхцөлд шаардлагатай байж болох TLS-ийн шифрлэлтийн ажиллагааг өөр сервер рүү шилжүүлэх чадвар юм. Шифрлэгдээгүй DNS-over-HTTP-ийн дэмжлэгийг дибаг хийхийг хялбарчлах, дотоод сүлжээнд дамжуулах давхарга болгон хэрэгжүүлдэг бөгөөд үүний үндсэн дээр шифрлэлтийг өөр сервер дээр зохион байгуулж болно. Алсын сервер дээр nginx-ийг HTTPS холболтыг вэбсайтуудад хэрхэн зохион байгуулдагтай адил TLS урсгалыг үүсгэхэд ашиглаж болно.
DNS-over-HTTPS нь үйлчилгээ үзүүлэгчийн DNS серверүүдээр дамжуулан хүссэн хостын нэрсийн талаарх мэдээлэл алдагдахаас урьдчилан сэргийлэх, MITM халдлага болон DNS траффикийг хууран мэхлэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), эсрэг тэмцэхэд тустай гэдгийг санацгаая. DNS түвшинд хаах (DNS-over-HTTPS нь DPI түвшинд хэрэгжсэн хориглолтыг тойрч гарахад VPN-г орлож чадахгүй) эсвэл DNS серверт шууд хандах боломжгүй үед (жишээлбэл, прокси ашиглан ажиллах үед) ажлыг зохион байгуулахад зориулагдсан. Хэрэв хэвийн нөхцөлд DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DNS-over-HTTPS-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS урсгалд багтааж, HTTP сервер рүү илгээдэг. Шийдвэрлэгч нь хүсэлтийг вэб API-ээр боловсруулдаг.
“TLS гаруй DNS” нь TLS/SSL сертификатаар баталгаажуулсан хостын хүчинтэй эсэхийг шалгах TLS протоколыг ашиглан зохион байгуулалттай шифрлэгдсэн холбооны сувагт ороосон стандарт DNS протоколыг (сүлжээний порт 853 ихэвчлэн ашигладаг) ашиглахдаа “HTTPS гаруй DNS”-ээс ялгаатай. баталгаажуулалтын байгууллагаас. Одоо байгаа DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Эх сурвалж: opennet.ru