Selepas 11 bulan pembangunan, konsortium ISC Keluaran stabil pertama cawangan penting baharu pelayan DNS BIND 9.16. Sokongan untuk cawangan 9.16 akan disediakan selama tiga tahun sehingga suku ke-2 2023 sebagai sebahagian daripada kitaran sokongan lanjutan. Kemas kini untuk cawangan LTS 9.11 sebelumnya akan terus dikeluarkan sehingga Disember 2021. Sokongan untuk cawangan 9.14 akan berakhir dalam masa tiga bulan.
Utama :
- Menambahkan KASP (Dasar Kunci dan Penandatanganan), cara mudah untuk mengurus kunci DNSSEC dan tandatangan digital, berdasarkan peraturan tetapan yang ditakrifkan menggunakan arahan "dasar-dnssec". Arahan ini membolehkan anda mengkonfigurasi penjanaan kunci baharu yang diperlukan untuk zon DNS dan aplikasi automatik kunci ZSK dan KSK.
- Subsistem rangkaian telah direka bentuk semula dengan ketara dan ditukar kepada mekanisme pemprosesan permintaan tak segerak yang dilaksanakan berdasarkan perpustakaan .
Kerja semula masih belum menghasilkan sebarang perubahan yang boleh dilihat, tetapi pada keluaran akan datang ia akan memberi peluang untuk melaksanakan beberapa pengoptimuman prestasi yang ketara dan menambah sokongan untuk protokol baharu seperti DNS melalui TLS. - Proses yang dipertingkatkan untuk mengurus sauh amanah DNSSEC (Sauh amanah, kunci awam yang terikat pada zon untuk mengesahkan ketulenan zon ini). Daripada tetapan kunci dipercayai dan kunci terurus, yang kini ditamatkan, arahan penambat amanah baharu telah dicadangkan yang membolehkan anda mengurus kedua-dua jenis kunci.
Apabila menggunakan sauh amanah dengan kata kunci kunci permulaan, gelagat arahan ini adalah sama dengan kunci terurus, i.e. mentakrifkan tetapan sauh amanah mengikut RFC 5011. Apabila menggunakan sauh amanah dengan kata kunci kunci statik, tingkah laku sepadan dengan arahan kunci dipercayai, i.e. mentakrifkan kunci berterusan yang tidak dikemas kini secara automatik. Trust-anchors juga menawarkan dua lagi kata kunci, initial-ds dan static-ds, yang membolehkan anda menggunakan trust anchor dalam format (Penandatangan Delegasi) dan bukannya DNSKEY, yang memungkinkan untuk mengkonfigurasi pengikatan untuk kunci yang belum diterbitkan (organisasi IANA merancang untuk menggunakan format DS untuk kunci zon teras pada masa hadapan).
- Pilihan "+yaml" telah ditambahkan pada utiliti dig, mdig dan delv untuk output dalam format YAML.
- Pilihan "+[tidak] tidak dijangka" telah ditambahkan pada utiliti penggalian, membenarkan penerimaan respons daripada hos selain daripada pelayan yang permintaan itu dihantar.
- Menambahkan pilihan "+[no]expandaaaa" untuk menggali utiliti, yang menyebabkan alamat IPv6 dalam rekod AAAA ditunjukkan dalam perwakilan 128-bit penuh, bukannya dalam format RFC 5952.
- Menambahkan keupayaan untuk menukar kumpulan saluran statistik.
- Rekod DS dan CDS kini dijana hanya berdasarkan cincang SHA-256 (penjanaan berdasarkan SHA-1 telah dihentikan).
- Untuk Kuki DNS (RFC 7873), algoritma lalai ialah SipHash 2-4 dan sokongan untuk HMAC-SHA telah dihentikan (AES dikekalkan).
- Output perintah dnssec-signzone dan dnssec-verify kini dihantar ke output standard (STDOUT), dan hanya ralat dan amaran dicetak kepada STDERR (pilihan -f juga mencetak zon yang ditandatangani). Pilihan "-q" telah ditambahkan untuk membisukan output.
- Kod pengesahan DNSSEC telah diolah semula untuk menghapuskan pertindihan kod dengan subsistem lain.
- Untuk memaparkan statistik dalam format JSON, hanya pustaka JSON-C kini boleh digunakan. Pilihan konfigurasi "--with-libjson" telah dinamakan semula kepada "--with-json-c".
- Skrip konfigurasi tidak lagi lalai kepada "--sysconfdir" dalam /etc dan "--localstatedir" dalam /var melainkan "--prefix" ditentukan. Laluan lalai kini ialah $prefix/etc dan $prefix/var, seperti yang digunakan dalam Autoconf.
- Kod yang dialih keluar melaksanakan perkhidmatan DLV (Pengesahan Pandang Kesisi Domain, pilihan dnssec-lookaside), yang telah ditamatkan dalam BIND 9.12 dan pengendali dlv.isc.org yang berkaitan telah dilumpuhkan pada tahun 2017. Mengalih keluar DLV membebaskan kod BIND daripada komplikasi yang tidak perlu.
Sumber: opennet.ru