Utviklerne av BIND DNS-serveren kunngjorde tillegget av serverstøtte for teknologiene DNS over HTTPS (DoH, DNS over HTTPS) og DNS over TLS (DoT, DNS over TLS), samt XFR-over-TLS-mekanismen for sikker overføring av innholdet i DNS-soner mellom servere. DoH er tilgjengelig for testing i utgave 9.17, og DoT-støtte har vært til stede siden utgivelse 9.17.10. Etter stabilisering vil DoT- og DoH-støtte bli tilbakeportert til den stabile 9.17.7-grenen.
Implementeringen av HTTP/2-protokollen som brukes i DoH er basert på bruken av nghttp2-biblioteket, som er inkludert blant monteringsavhengighetene (i fremtiden planlegges biblioteket overført til antall valgfrie avhengigheter). Både krypterte (TLS) og ukrypterte HTTP/2-tilkoblinger støttes. Med de riktige innstillingene kan en enkelt navngitt prosess nå ikke bare betjene tradisjonelle DNS-spørringer, men også spørringer sendt ved hjelp av DoH (DNS-over-HTTPS) og DoT (DNS-over-TLS). HTTPS-støtte på klientsiden (dig) er ennå ikke implementert. XFR-over-TLS-støtte er tilgjengelig for både innkommende og utgående forespørsler.
Forespørselsbehandling ved å bruke DoH og DoT aktiveres ved å legge til http- og tls-alternativene i lytte-på-direktivet. For å støtte ukryptert DNS-over-HTTP, bør du spesifisere "tls none" i innstillingene. Nøkler er definert i "tls"-delen. Standard nettverksporter 853 for DoT, 443 for DoH og 80 for DNS-over-HTTP kan overstyres gjennom tls-port, https-port og http-port parametere. For eksempel: tls local-tls { key-file "/path/to/priv_key.pem"; cert-fil "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; alternativer { https-port 443; lytte-på-port 443 tls local-tls http minserver {any;}; }
Blant funksjonene til DoH-implementeringen i BIND er integrasjon kjent som en generell transport, som ikke bare kan brukes til å behandle klientforespørsler til resolveren, men også ved utveksling av data mellom servere, ved overføring av soner av en autoritativ DNS-server, og når du behandler forespørsler som støttes av andre DNS-transporter.
En annen funksjon er muligheten til å flytte krypteringsoperasjoner for TLS til en annen server, noe som kan være nødvendig i forhold der TLS-sertifikater lagres på et annet system (for eksempel i en infrastruktur med webservere) og vedlikeholdes av annet personell. Støtte for ukryptert DNS-over-HTTP er implementert for å forenkle feilsøking og som et lag for videresending i det interne nettverket, på grunnlag av hvilket kryptering kan organiseres på en annen server. På en ekstern server kan nginx brukes til å generere TLS-trafikk, på samme måte som HTTPS-binding er organisert for nettsteder.
La oss huske at DNS-over-HTTPS kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS-nivå (DNS-over-HTTPS kan ikke erstatte en VPN ved å omgå blokkering implementert på DPI-nivå) eller for å organisere arbeid når det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, i tilfelle DNS-over-HTTPS er forespørselen om å bestemme vertens IP-adresse innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, der løseren behandler forespørsler via Web API.
"DNS over TLS" skiller seg fra "DNS over HTTPS" ved bruk av standard DNS-protokoll (nettverksport 853 brukes vanligvis), pakket inn i en kryptert kommunikasjonskanal organisert ved hjelp av TLS-protokollen med vertsvaliditetskontroll gjennom sertifiserte TLS/SSL-sertifikater av en sertifiseringsinstans. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
Kilde: opennet.ru