Após 11 meses de desenvolvimento, o consórcio ISC A primeira versão estável de uma nova ramificação significativa do servidor DNS BIND 9.16. O suporte para a filial 9.16 será fornecido por três anos até o 2º trimestre de 2023 como parte de um ciclo de suporte estendido. As atualizações para o branch LTS anterior 9.11 continuarão a ser lançadas até dezembro de 2021. O suporte para branch 9.14 terminará em três meses.
O principal :
- Adicionada KASP (Política de Chave e Assinatura), uma forma simplificada de gerenciar chaves DNSSEC e assinaturas digitais, com base na configuração de regras definidas usando a diretiva “dnssec-policy”. Esta diretiva permite configurar a geração das novas chaves necessárias para zonas DNS e a aplicação automática de chaves ZSK e KSK.
- O subsistema de rede foi significativamente redesenhado e mudado para um mecanismo de processamento de solicitação assíncrono implementado com base na biblioteca .
O retrabalho ainda não resultou em nenhuma mudança visível, mas em versões futuras proporcionará a oportunidade de implementar algumas otimizações significativas de desempenho e adicionar suporte para novos protocolos, como DNS sobre TLS. - Processo aprimorado para gerenciamento de âncoras de confiança DNSSEC (âncora de confiança, uma chave pública vinculada a uma zona para verificar a autenticidade desta zona). Em vez das configurações de chaves confiáveis e chaves gerenciadas, que agora estão obsoletas, foi proposta uma nova diretiva de âncoras de confiança que permite gerenciar ambos os tipos de chaves.
Ao usar âncoras de confiança com a palavra-chave inicial-chave, o comportamento desta diretiva é idêntico ao das chaves gerenciadas, ou seja, define a configuração da âncora de confiança de acordo com RFC 5011. Ao usar âncoras de confiança com a palavra-chave static-key, o comportamento corresponde à diretiva de chaves confiáveis, ou seja, define uma chave persistente que não é atualizada automaticamente. Trust-anchors também oferece mais duas palavras-chave, inicial-ds e static-ds, que permitem usar âncoras de confiança no formato (Delegation Signer) em vez de DNSKEY, o que possibilita configurar vinculações para chaves que ainda não foram publicadas (a organização IANA planeja usar o formato DS para chaves de zona central no futuro).
- A opção “+yaml” foi adicionada aos utilitários dig, mdig e delv para saída no formato YAML.
- A opção “+[no]inesperado” foi adicionada ao utilitário dig, permitindo a recepção de respostas de hosts diferentes do servidor para o qual a solicitação foi enviada.
- Adicionada a opção "+[no]expandaaaa" ao utilitário dig, que faz com que endereços IPv6 em registros AAAA sejam mostrados em representação completa de 128 bits, em vez de no formato RFC 5952.
- Adicionada a capacidade de alternar grupos de canais de estatísticas.
- Os registros DS e CDS agora são gerados apenas com base em hashes SHA-256 (a geração baseada em SHA-1 foi descontinuada).
- Para o cookie DNS (RFC 7873), o algoritmo padrão é SipHash 2-4 e o suporte para HMAC-SHA foi descontinuado (o AES foi mantido).
- A saída dos comandos dnssec-signzone e dnssec-verify agora é enviada para a saída padrão (STDOUT) e apenas erros e avisos são impressos em STDERR (a opção -f também imprime a zona assinada). A opção "-q" foi adicionada para silenciar a saída.
- O código de validação DNSSEC foi reformulado para eliminar a duplicação de código com outros subsistemas.
- Para exibir estatísticas no formato JSON, agora apenas a biblioteca JSON-C pode ser usada. A opção de configuração "--with-libjson" foi renomeada para "--with-json-c".
- O script de configuração não tem mais como padrão "--sysconfdir" em /etc e "--localstatedir" em /var, a menos que "--prefix" seja especificado. Os caminhos padrão agora são $prefix/etc e $prefix/var, conforme usado no Autoconf.
- Código removido que implementa o serviço DLV (Domain Look-aside Verification, opção dnssec-lookaside), que foi descontinuado no BIND 9.12, e o manipulador dlv.isc.org associado foi desativado em 2017. A remoção dos DLVs liberou o código BIND de complicações desnecessárias.
Fonte: opennet.ru