Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий «DNS поверх HTTPS» (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.
Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.
Обработка запросов с использованием DoH и DoT включается через добавление опций http и tls в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать «tls none». Ключи определяются в секции «tls». Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например: tls local-tls { key-file «/path/to/priv_key.pem»; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { «/dns-query»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }
Из особенностей реализации DoH в BIND отмечается интеграция в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.
Другой особенности является возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса во внутренней сети, на базе которого на другом сервере может быть организовано шифрование. На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.
हामीलाई याद गरौं कि DNS-over-HTTPS प्रदायकहरूको DNS सर्भरहरू मार्फत अनुरोध गरिएको होस्ट नामहरूको बारेमा जानकारी चुहावट रोक्न, MITM आक्रमणहरू र DNS ट्राफिक स्पूफिङ (उदाहरणका लागि, सार्वजनिक Wi-Fi जडान गर्दा), काउन्टरिङको लागि उपयोगी हुन सक्छ। DNS स्तरमा रोक लगाउने (DNS-over-HTTPS ले DPI स्तरमा लागू गरिएको ब्लकिङलाई बाइपास गर्न VPN लाई प्रतिस्थापन गर्न सक्दैन) वा DNS सर्भरहरूमा प्रत्यक्ष पहुँच गर्न असम्भव हुँदा काम व्यवस्थित गर्न (उदाहरणका लागि, प्रोक्सी मार्फत काम गर्दा)। यदि सामान्य अवस्थामा DNS अनुरोधहरू सिधै प्रणाली कन्फिगरेसनमा परिभाषित DNS सर्भरहरूमा पठाइन्छ, तब DNS-over-HTTPS को मामलामा होस्ट IP ठेगाना निर्धारण गर्ने अनुरोध HTTPS ट्राफिकमा समेटिएको छ र HTTP सर्भरमा पठाइन्छ, जहाँ रिजोल्भरले वेब एपीआई मार्फत अनुरोधहरू प्रक्रिया गर्दछ।
"TLS मा DNS" मानक DNS प्रोटोकल (नेटवर्क पोर्ट 853 सामान्यतया प्रयोग गरिन्छ) को प्रयोग मा "HTTPS मा DNS" भन्दा भिन्न छ, TLS/SSL प्रमाणपत्र प्रमाणित मार्फत होस्ट वैधता जाँच संग TLS प्रोटोकल प्रयोग गरी संगठित एक गुप्तिकरण संचार च्यानलमा बेरिएको। प्रमाणीकरण प्राधिकरण द्वारा। अवस्थित DNSSEC मानकले ग्राहक र सर्भरलाई प्रमाणीकरण गर्न मात्र इन्क्रिप्सन प्रयोग गर्दछ, तर ट्राफिकलाई अवरोधबाट जोगाउँदैन र अनुरोधहरूको गोपनीयताको ग्यारेन्टी गर्दैन।
स्रोत: opennet.ru