Po 11 miesiącach prac konsorcjum ISC Pierwsza stabilna wersja nowej istotnej gałęzi serwera DNS BIND 9.16. Wsparcie dla gałęzi 9.16 będzie świadczone przez trzy lata do II kwartału 2 roku w ramach rozszerzonego cyklu wsparcia. Aktualizacje dla poprzedniej gałęzi LTS 2023 będą wydawane do grudnia 9.11 r. Wsparcie dla gałęzi 2021 zakończy się za trzy miesiące.
Głównym :
- Dodano KASP (Key and Signing Policy), uproszczony sposób zarządzania kluczami DNSSEC i podpisami cyfrowymi, oparty na ustawianiu reguł zdefiniowanych za pomocą dyrektywy „dnssec-policy”. Dyrektywa ta pozwala skonfigurować generowanie niezbędnych nowych kluczy dla stref DNS oraz automatyczne stosowanie kluczy ZSK i KSK.
- Podsystem sieciowy został znacząco przeprojektowany i przeszedł na mechanizm asynchronicznego przetwarzania żądań zaimplementowany w oparciu o bibliotekę .
Przeróbka nie przyniosła jeszcze żadnych widocznych zmian, ale w przyszłych wersjach zapewni możliwość wdrożenia znaczących optymalizacji wydajności i dodania obsługi nowych protokołów, takich jak DNS przez TLS. - Ulepszony proces zarządzania kotwicami zaufania DNSSEC (kotwica zaufania, klucz publiczny powiązany ze strefą w celu sprawdzenia autentyczności tej strefy). Zamiast ustawień kluczy zaufanych i kluczy zarządzanych, które są obecnie przestarzałe, zaproponowano nową dyrektywę dotyczącą kotwic zaufania, która umożliwia zarządzanie obydwoma typami kluczy.
Podczas korzystania z kotwic zaufania ze słowem kluczowym początkowym, zachowanie tej dyrektywy jest identyczne jak w przypadku kluczy zarządzanych, tj. definiuje ustawienie kotwicy zaufania zgodnie z RFC 5011. W przypadku używania kotwic zaufania ze słowem kluczowym static-key zachowanie odpowiada dyrektywie zaufanych kluczy, tj. definiuje trwały klucz, który nie jest automatycznie aktualizowany. Trust-anchors oferuje również dwa dodatkowe słowa kluczowe, początkowe-ds i static-ds, które pozwalają na użycie kotwic zaufania w formacie (Delegation Signer) zamiast DNSKEY, co umożliwia skonfigurowanie powiązań dla kluczy, które nie zostały jeszcze opublikowane (organizacja IANA planuje w przyszłości używać formatu DS dla kluczy stref podstawowych).
- Do narzędzi dig, mdig i delv dodano opcję „+yaml” w celu uzyskania danych wyjściowych w formacie YAML.
- Do narzędzia dig dodano opcję „+[no]unexpected”, umożliwiającą odbiór odpowiedzi z hostów innych niż serwer, do którego wysłano żądanie.
- Do narzędzia dig dodano opcję „+[no]expandaaaa”, która powoduje, że adresy IPv6 w rekordach AAAA są wyświetlane w pełnej 128-bitowej reprezentacji, a nie w formacie RFC 5952.
- Dodano możliwość przełączania grup kanałów statystycznych.
- Rekordy DS i CDS są obecnie generowane wyłącznie w oparciu o skróty SHA-256 (zakończono generowanie w oparciu o SHA-1).
- W przypadku pliku cookie DNS (RFC 7873) domyślnym algorytmem jest SipHash 2-4, a obsługa HMAC-SHA została przerwana (zachowano AES).
- Dane wyjściowe poleceń dnssec-signzone i dnssec-verify są teraz wysyłane na standardowe wyjście (STDOUT), a na STDERR wypisywane są tylko błędy i ostrzeżenia (opcja -f drukuje również podpisaną strefę). Dodano opcję „-q”, aby wyciszyć wyjście.
- Kod weryfikacyjny DNSSEC został przerobiony, aby wyeliminować duplikację kodu z innymi podsystemami.
- Do wyświetlania statystyk w formacie JSON można teraz używać wyłącznie biblioteki JSON-C. Nazwę opcji konfiguracyjnej „--with-libjson” zmieniono na „--with-json-c”.
- Skrypt konfiguracyjny nie ma już domyślnych ustawień „--sysconfdir” w /etc i „--localstatedir” w /var, chyba że określono „--prefix”. Domyślne ścieżki to teraz $prefix/etc i $prefix/var, takie jak używane w Autoconf.
- Usunięto kod implementujący usługę DLV (weryfikacja domeny Look-aside, opcja dnssec-lookaside), która była przestarzała w wersji BIND 9.12, a powiązana z nią procedura obsługi dlv.isc.org została wyłączona w 2017 r. Usunięcie plików DLV uwolniło kod BIND od niepotrzebnych komplikacji.
Źródło: opennet.ru