BIND DNS ဆာဗာ၏ developer များသည် HTTPS (DoH၊ DNS over HTTPS) နှင့် TLS မှ DNS (DoT၊ DNS over TLS) နည်းပညာများနှင့် DNS ကျော် HTTPS အတွက် ဆာဗာပံ့ပိုးမှု ထပ်တိုးကြောင်း ကြေညာခဲ့ပြီး၊ လုံခြုံစေရန်အတွက် XFR-over-TLS ယန္တရား ဆာဗာများအကြား DNS ဇုန်များ၏ အကြောင်းအရာများကို လွှဲပြောင်းခြင်း။ DoH ကို 9.17 တွင် စတင်စမ်းသပ်ရန် ရရှိနိုင်ပြီး DoT ပံ့ပိုးမှုသည် 9.17.10 ထွက်ရှိကတည်းက ရှိနေပါသည်။ တည်ငြိမ်ပြီးနောက်၊ DoT နှင့် DoH ပံ့ပိုးမှုများကို တည်ငြိမ်သော 9.17.7 ဌာနခွဲသို့ ပြန်ပို့ပါမည်။
DoH တွင်အသုံးပြုသည့် HTTP/2 ပရိုတိုကောကို အကောင်အထည်ဖော်ခြင်းသည် စည်းဝေးပွဲမှီခိုမှုများကြားတွင် ပါဝင်သော nghttp2 စာကြည့်တိုက်ကို အသုံးပြုခြင်းအပေါ် အခြေခံသည် (အနာဂတ်တွင်၊ စာကြည့်တိုက်ကို ရွေးချယ်နိုင်လောက်သည့် မှီခိုမှုအရေအတွက်သို့ လွှဲပြောင်းရန် စီစဉ်ထားသည်)။ ကုဒ်ဝှက်ထားသော (TLS) နှင့် ကုဒ်မထားသော HTTP/2 ချိတ်ဆက်မှုများကို ပံ့ပိုးထားသည်။ သင့်လျော်သောဆက်တင်များဖြင့်၊ အမည်ပေးထားသည့် လုပ်ငန်းစဉ်တစ်ခုတည်းသည် ယခုအခါ ရိုးရာ DNS မေးမြန်းမှုများသာမက DoH (DNS-over-HTTPS) နှင့် DoT (DNS-over-TLS) တို့ကို အသုံးပြု၍ ပေးပို့သည့်မေးခွန်းများကိုလည်း ဆောင်ရွက်ပေးနိုင်ပါသည်။ ကလိုင်းယင့်ဘက်မှ (တူး) တွင် HTTPS ပံ့ပိုးမှုကို အကောင်အထည်မဖော်သေးပါ။ XFR-over-TLS ပံ့ပိုးမှုသည် အဝင်နှင့် အထွက် တောင်းဆိုမှု နှစ်ခုစလုံးအတွက် ရနိုင်ပါသည်။
DoH နှင့် DoT ကို အသုံးပြု၍ စီမံဆောင်ရွက်ပေးရန် တောင်းဆိုမှုကို နားထောင်သည့် ညွှန်ကြားချက်တွင် http နှင့် tls ရွေးချယ်မှုများကို ထည့်သွင်းခြင်းဖြင့် ဖွင့်ထားသည်။ ကုဒ်မထားသော DNS-over-HTTP ကို ပံ့ပိုးရန်၊ ဆက်တင်များတွင် “tls none” ကို သတ်မှတ်သင့်သည်။ သော့များကို "tls" ကဏ္ဍတွင် သတ်မှတ်ထားသည်။ မူရင်းကွန်ရက် ports 853 ကို DoT အတွက်၊ DoH အတွက် 443 နှင့် DNS-over-HTTP အတွက် 80 ကို tls-port၊ https-port နှင့် http-port ကန့်သတ်ဘောင်များမှတဆင့် လွှမ်းမိုးနိုင်သည်။ ဥပမာ- tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; ရွေးချယ်စရာများ { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }
BIND ရှိ DoH အကောင်အထည်ဖော်မှု၏ အင်္ဂါရပ်များထဲတွင် ပေါင်းစပ်ခြင်းကို ယေဘုယျသယ်ယူပို့ဆောင်ရေးအဖြစ် မှတ်သားထားပြီး၊ ၎င်းသည် ဖြေရှင်းသူထံ client တောင်းဆိုမှုများကို လုပ်ဆောင်ရန်သာမက ဆာဗာများအကြား ဒေတာဖလှယ်သည့်အခါ၊ တရားဝင် DNS ဆာဗာတစ်ခုမှ ဇုန်များကို လွှဲပြောင်းသည့်အခါတွင်လည်း အသုံးပြုနိုင်သည်။ အခြား DNS သယ်ယူပို့ဆောင်ရေးများမှ ပံ့ပိုးပေးသည့် တောင်းဆိုမှုများကို လုပ်ဆောင်သည့်အခါ။
အခြားအင်္ဂါရပ်တစ်ခုမှာ TLS အတွက် ကုဒ်ဝှက်ခြင်းလုပ်ငန်းဆောင်တာများကို အခြားဆာဗာတစ်ခုသို့ ရွှေ့နိုင်သည်၊ ၎င်းသည် TLS လက်မှတ်များကို အခြားစနစ်တစ်ခုတွင် သိမ်းဆည်းထားသည့် အခြေအနေများတွင် လိုအပ်နိုင်သည် (ဥပမာ၊ ဝဘ်ဆာဗာများရှိသည့် အခြေခံအဆောက်အအုံတစ်ခုတွင်) နှင့် အခြားဝန်ထမ်းများက ထိန်းသိမ်းထားသည့် အခြေအနေများတွင် လိုအပ်နိုင်သည်။ ကုဒ်ဝှက်မထားသော DNS-over-HTTP အတွက် ပံ့ပိုးမှုအား အခြားဆာဗာတစ်ခုပေါ်တွင် ကုဒ်ဝှက်ခြင်းကို စီမံဆောင်ရွက်နိုင်သည့် အခြေခံအားဖြင့် အမှားရှာပြင်ခြင်းကို ရိုးရှင်းစေရန်နှင့် အတွင်းပိုင်းကွန်ရက်အတွင်း ထပ်ဆင့်ပို့ခြင်းအတွက် အလွှာတစ်ခုအနေဖြင့် လုပ်ဆောင်ထားသည်။ ဝဘ်ဆိုက်များအတွက် HTTPS binding ကိုစီစဉ်ပုံနှင့်ဆင်တူသော TLS အသွားအလာကိုထုတ်လုပ်ရန် အဝေးထိန်းဆာဗာတွင် nginx ကိုအသုံးပြုနိုင်ပါသည်။
DNS-over-HTTPS သည် ဝန်ဆောင်မှုပေးသူများ၏ DNS ဆာဗာများမှတစ်ဆင့် တောင်းဆိုထားသော လက်ခံသူအမည်များအကြောင်း အချက်အလက်ပေါက်ကြားမှုကို တားဆီးရန်အတွက် အသုံးဝင်နိုင်သည်ကို သတိရပါစို့၊ MITM တိုက်ခိုက်မှုနှင့် DNS traffic spoofing (ဥပမာ၊ အများသူငှာ Wi-Fi သို့ ချိတ်ဆက်သည့်အခါ)၊ တန်ပြန်ခြင်း DNS အဆင့်တွင် ပိတ်ဆို့ခြင်း (DNS-over-HTTPS သည် DPI အဆင့်တွင် လုပ်ဆောင်ခဲ့သော ပိတ်ဆို့ခြင်းကို ကျော်ဖြတ်ခြင်းတွင် VPN ကို အစားထိုး၍မရပါ) သို့မဟုတ် DNS ဆာဗာများကို တိုက်ရိုက်ဝင်ရောက်ရန် မဖြစ်နိုင်သည့်အခါ (ဥပမာ၊ ပရောက်စီတစ်ခုမှ လုပ်ဆောင်နေသည့်အခါ) အလုပ်စီစဉ်ခြင်းအတွက်။ ပုံမှန်အခြေအနေတွင် DNS တောင်းဆိုမှုများကို စနစ်ဖွဲ့စည်းပုံတွင် သတ်မှတ်ထားသည့် DNS ဆာဗာများသို့ တိုက်ရိုက်ပေးပို့ပါက၊ DNS-over-HTTPS ၏ကိစ္စတွင်၊ လက်ခံသူ IP လိပ်စာကို ဆုံးဖြတ်ရန် တောင်းဆိုချက်သည် HTTPS အသွားအလာတွင် ထုပ်ပိုးထားပြီး HTTP ဆာဗာသို့ ပေးပို့သည်။ ဖြေရှင်းသူသည် ဝဘ် API မှတစ်ဆင့် တောင်းဆိုမှုများကို လုပ်ဆောင်သည်။
"DNS over TLS" သည် စံ DNS ပရိုတိုကောကို အသုံးပြုရာတွင် "DNS over HTTPS" နှင့် ကွဲပြားသည် (ကွန်ရက် ပေါက် 853 ကို အများအားဖြင့် အသုံးပြုသည်)၊ TLS/SSL ပရိုတိုကောကို အသုံးပြု၍ စီစဉ်ဖွဲ့စည်းထားသော ကုဒ်ဝှက်ထားသော ဆက်သွယ်ရေးချန်နယ်တွင် ထုပ်ပိုးထားသည့် အိမ်ရှင်တရားဝင်စစ်ဆေးခြင်း TLS/SSL လက်မှတ်များမှတဆင့် လက်ခံစစ်ဆေးခြင်း အသိအမှတ်ပြု အခွင့်အာဏာဖြင့် ရှိပြီးသား DNSSEC စံနှုန်းသည် ကလိုင်းယင့်နှင့် ဆာဗာကို စစ်မှန်ကြောင်းသက်သေပြရန်အတွက် ကုဒ်ဝှက်စနစ်ကိုသာ အသုံးပြုသော်လည်း ကြားဖြတ်ဝင်ရောက်ခြင်းမှ ကာကွယ်ခြင်းမရှိသည့်အပြင် တောင်းဆိုမှုများ၏လျှို့ဝှက်မှုကို အာမခံမပေးပေ။
source: opennet.ru