Etter 11 måneder med utvikling, ISC-konsortiet Den første stabile utgivelsen av en ny betydelig gren av BIND 9.16 DNS-serveren. Støtte til filial 9.16 vil bli gitt i tre år frem til 2. kvartal 2023 som en del av en utvidet støttesyklus. Oppdateringer for den forrige LTS-grenen 9.11 vil fortsette å bli utgitt til desember 2021. Støtte for filial 9.14 avsluttes om tre måneder.
Den viktigste :
- Lagt til KASP (Key and Signing Policy), en forenklet måte å administrere DNSSEC-nøkler og digitale signaturer på, basert på innstillingsregler definert ved hjelp av "dnssec-policy"-direktivet. Dette direktivet lar deg konfigurere genereringen av de nødvendige nye nøklene for DNS-soner og automatisk bruk av ZSK- og KSK-nøkler.
- Nettverksundersystemet har blitt betydelig redesignet og byttet til en asynkron forespørselsbehandlingsmekanisme implementert basert på biblioteket .
Omarbeidet har ennå ikke resultert i noen synlige endringer, men i fremtidige utgivelser vil det gi muligheten til å implementere noen betydelige ytelsesoptimaliseringer og legge til støtte for nye protokoller som DNS over TLS. - Forbedret prosess for å administrere DNSSEC-tillitsankere (Trustanker, en offentlig nøkkel knyttet til en sone for å bekrefte ektheten til denne sonen). I stedet for innstillingene for klarerte nøkler og administrerte nøkler, som nå er avviklet, er det foreslått et nytt direktiv om tillitsanker som lar deg administrere begge typer nøkler.
Når du bruker trust-anchors med initial-key-nøkkelordet, er oppførselen til dette direktivet identisk med administrerte nøkler, dvs. definerer tillitsankerinnstillingen i henhold til RFC 5011. Ved bruk av tillitsanker med nøkkelordet static-key, tilsvarer oppførselen Trusted-keys-direktivet, dvs. definerer en vedvarende nøkkel som ikke oppdateres automatisk. Trust-anchors tilbyr også ytterligere to søkeord, initial-ds og static-ds, som lar deg bruke trust-ankere i formatet (Delegation Signer) i stedet for DNSKEY, som gjør det mulig å konfigurere bindinger for nøkler som ennå ikke er publisert (IANA-organisasjonen planlegger å bruke DS-formatet for kjernesonenøkler i fremtiden).
- Alternativet "+yaml" er lagt til dig, mdig og delv-verktøyene for utdata i YAML-format.
- Alternativet "+[no]unexpected" er lagt til graveverktøyet, som tillater mottak av svar fra andre verter enn serveren som forespørselen ble sendt til.
- Lagt til "+[no]expandaaaa"-alternativet for å grave verktøyet, som fører til at IPv6-adresser i AAAA-poster vises i full 128-bits representasjon, i stedet for i RFC 5952-format.
- Lagt til muligheten til å bytte grupper av statistikkkanaler.
- DS- og CDS-poster genereres nå kun basert på SHA-256-hasher (generasjon basert på SHA-1 har blitt avviklet).
- For DNS Cookie (RFC 7873) er standardalgoritmen SipHash 2-4, og støtte for HMAC-SHA er avviklet (AES beholdes).
- Utdataene fra kommandoene dnssec-signzone og dnssec-verify sendes nå til standardutdata (STDOUT), og bare feil og advarsler skrives ut til STDERR (alternativet -f skriver også ut den signerte sonen). Alternativet "-q" er lagt til for å dempe utgangen.
- DNSSEC-valideringskoden har blitt omarbeidet for å eliminere kodeduplisering med andre undersystemer.
- For å vise statistikk i JSON-format, kan nå bare JSON-C-biblioteket brukes. Konfigurasjonsalternativet "--with-libjson" har blitt omdøpt til "--with-json-c".
- Konfigurasjonsskriptet er ikke lenger standard til "--sysconfdir" i /etc og "--localstatedir" i /var med mindre "--prefix" er spesifisert. Standardbanene er nå $prefix/etc og $prefix/var, som brukt i Autoconf.
- Fjernet kode som implementerte DLV-tjenesten (Domain Look-aside Verification, dnssec-lookaside option), som ble avviklet i BIND 9.12, og den tilknyttede dlv.isc.org-behandleren ble deaktivert i 2017. Fjerning av DLV-ene frigjorde BIND-koden fra unødvendige komplikasjoner.
Kilde: opennet.ru