11 сарын хөгжлийн дараа ISC консорциум BIND 9.16 DNS серверийн шинэ чухал салбарын анхны тогтвортой хувилбар. 9.16 салбарын дэмжлэгийг өргөтгөсөн дэмжлэгийн мөчлөгийн хүрээнд 2 оны 2023-р улирал хүртэл гурван жилийн хугацаанд олгоно. Өмнөх LTS салбарын 9.11-ийн шинэчлэлтүүд 2021 оны 9.14-р сар хүртэл гарна. XNUMX-ийн салбарын дэмжлэг гурван сарын дараа дуусна.
Үндсэн :
- “dnssec-policy” удирдамжийг ашиглан тодорхойлсон тохиргооны дүрэмд үндэслэн DNSSEC түлхүүрүүд болон тоон гарын үсгийг удирдах хялбаршуулсан арга болох KASP (Түлхүүр ба гарын үсэг зурах бодлого) нэмсэн. Энэхүү заавар нь DNS бүсэд шаардлагатай шинэ түлхүүрүүдийг үүсгэх, ZSK болон KSK товчлууруудыг автоматаар ашиглах боломжийг танд олгоно.
- Сүлжээний дэд системийг ихээхэн өөрчилж, номын санд суурилсан асинхрон хүсэлт боловсруулах механизмд шилжүүлсэн. .
Дахин боловсруулалтын үр дүнд хараахан харагдахуйц өөрчлөлт гараагүй байгаа ч цаашдын хувилбаруудад гүйцэтгэлийн зарим чухал оновчлолыг хэрэгжүүлэх боломжийг олгож, TLS гаруй DNS гэх мэт шинэ протоколуудад дэмжлэг үзүүлэх болно. - DNSSEC итгэлцлийн зангууг удирдах үйл явц сайжирсан (Trust anchor, энэ бүсийн жинхэнэ эсэхийг шалгахын тулд бүсэд холбогдсон нийтийн түлхүүр). Одоо хуучирсан итгэмжлэгдсэн түлхүүрүүд болон удирддаг түлхүүрүүдийн тохиргооны оронд хоёр төрлийн түлхүүрийг удирдах боломжийг олгодог Trust-anchors-ийн шинэ удирдамжийг санал болгосон.
Trust-anchors-ийг анхдагч-түлхүүр түлхүүр үгээр ашиглах үед энэ удирдамжийн үйлдэл нь удирдлагатай-түлхүүртэй адил байна, i.e. нь RFC 5011-ийн дагуу итгэлцлийн зангууны тохиргоог тодорхойлдог. Static-key түлхүүр үгтэй итгэлцүүрийг ашиглах үед зан төлөв нь итгэмжлэгдсэн түлхүүрүүдийн удирдамжтай тохирч, i.e. автоматаар шинэчлэгддэггүй байнгын түлхүүрийг тодорхойлдог. Trust-anchors нь анхдагч-ds болон static-ds гэсэн өөр хоёр түлхүүр үгийг санал болгодог бөгөөд энэ нь итгэлцлийн зангууг форматаар ашиглах боломжийг олгодог. (Төлөөлөгч гарын үсэг зурсан) DNSKEY-ийн оронд, энэ нь хараахан хэвлэгдээгүй байгаа түлхүүрүүдийн холболтыг тохируулах боломжтой болгодог (IANA байгууллага ирээдүйд үндсэн бүсийн түлхүүрүүдэд DS форматыг ашиглахаар төлөвлөж байна).
- YAML форматаар гаргахын тулд dig, mdig, delv хэрэгслүүдэд “+yaml” сонголтыг нэмсэн.
- Дик хэрэгсэлд "+[no] гэнэтийн" сонголтыг нэмснээр хүсэлт илгээсэн серверээс бусад хостуудаас хариу хүлээн авах боломжтой болсон.
- Хэрэгслийг ухахын тулд "+[no]expandaaaa" сонголтыг нэмсэн нь AAAA бүртгэл дэх IPv6 хаягийг RFC 128 форматаар бус 5952 битийн бүрэн дүрслэлээр харуулахад хүргэдэг.
- Статистикийн сувгуудын бүлгүүдийг солих чадварыг нэмсэн.
- DS болон CDS бүртгэлийг одоо зөвхөн SHA-256 хэш дээр үндэслэн үүсгэж байна (SHA-1 дээр суурилсан үүсгэх нь зогссон).
- DNS Cookie (RFC 7873)-ийн хувьд өгөгдмөл алгоритм нь SipHash 2-4 бөгөөд HMAC-SHA-г дэмжихээ больсон (AES хэвээр байна).
- dnssec-signzone болон dnssec-verify командуудын гаралтыг одоо стандарт гаралт (STDOUT) руу илгээсэн бөгөөд зөвхөн алдаа, анхааруулгыг STDERR-д хэвлэдэг (-f сонголт нь мөн гарын үсэг зурсан бүсийг хэвлэдэг). Гаралтын дууг хаахын тулд "-q" сонголтыг нэмсэн.
- Бусад дэд системүүдтэй кодын давхардлыг арилгахын тулд DNSSEC баталгаажуулалтын кодыг дахин боловсруулсан.
- JSON форматаар статистикийг харуулахын тулд одоо зөвхөн JSON-C номын санг ашиглах боломжтой. "--with-libjson" тохиргооны сонголтыг "--with-json-c" болгож өөрчилсөн.
- Тохируулах скрипт нь "--prefix"-г заагаагүй бол /etc доторх "--sysconfdir" болон /var доторх "--localstatedir"-ээр өгөгдмөл болохгүй. Өгөгдмөл замууд нь одоо Autoconf-д хэрэглэгддэг шиг $prefix/etc болон $prefix/var байна.
- BIND 9.12-т хуучирсан DLV (Domain Look-side Verification, dnssec-lookaside сонголт) үйлчилгээг хэрэгжүүлж буй кодыг устгасан бөгөөд холбогдох dlv.isc.org зохицуулагчийг 2017 онд идэвхгүй болгосон. DLV-г устгаснаар BIND кодыг шаардлагагүй хүндрэлээс чөлөөлсөн.
Эх сурвалж: opennet.ru