După 11 luni de dezvoltare, consorțiul ISC Prima lansare stabilă a unei noi ramuri semnificative a serverului DNS BIND 9.16. Sprijinul pentru ramura 9.16 va fi oferit timp de trei ani până în al doilea trimestru al anului 2, ca parte a unui ciclu de suport extins. Actualizările pentru ramura anterioară LTS 2023 vor continua să fie lansate până în decembrie 9.11. Suportul pentru ramura 2021 se va încheia în trei luni.
Principalul :
- S-a adăugat KASP (Key and Signing Policy), o modalitate simplificată de a gestiona cheile DNSSEC și semnăturile digitale, bazate pe stabilirea regulilor definite folosind directiva „dnssec-policy”. Această directivă vă permite să configurați generarea noilor chei necesare pentru zonele DNS și aplicarea automată a cheilor ZSK și KSK.
- Subsistemul de rețea a fost reproiectat semnificativ și trecut la un mecanism de procesare a cererilor asincron implementat pe baza bibliotecii .
Reprelucrarea nu a dus încă la nicio modificare vizibilă, dar în versiunile viitoare va oferi oportunitatea de a implementa unele optimizări semnificative de performanță și de a adăuga suport pentru noi protocoale, cum ar fi DNS prin TLS. - Proces îmbunătățit pentru gestionarea ancorelor de încredere DNSSEC (ancora de încredere, o cheie publică legată de o zonă pentru a verifica autenticitatea acestei zone). În locul setărilor de chei de încredere și chei gestionate, care sunt acum depreciate, a fost propusă o nouă directivă de ancorare de încredere care vă permite să gestionați ambele tipuri de chei.
Când utilizați ancore de încredere cu cuvântul cheie cheie inițială, comportamentul acestei directive este identic cu cheile gestionate, de exemplu. definește setarea de ancorare de încredere în conformitate cu RFC 5011. Când se utilizează ancore de încredere cu cuvântul cheie static-key, comportamentul corespunde directivei trusted-keys, de exemplu. definește o cheie persistentă care nu este actualizată automat. Trust-anchors oferă, de asemenea, încă două cuvinte cheie, initial-ds și static-ds, care vă permit să utilizați ancore de încredere în format (Delegation Signer) în loc de DNSKEY, ceea ce face posibilă configurarea legăturilor pentru cheile care nu au fost încă publicate (organizația IANA intenționează să folosească formatul DS pentru cheile zonei centrale în viitor).
- Opțiunea „+yaml” a fost adăugată la utilitatile dig, mdig și delv pentru ieșire în format YAML.
- Opțiunea „+[nu]neașteptat” a fost adăugată utilitarului dig, permițând primirea de răspunsuri de la gazde, altele decât serverul către care a fost trimisă cererea.
- S-a adăugat opțiunea „+[no]expandaaaa” pentru utilitarul dig, care face ca adresele IPv6 din înregistrările AAAA să fie afișate în reprezentare completă pe 128 de biți, mai degrabă decât în format RFC 5952.
- S-a adăugat posibilitatea de a comuta între grupuri de canale de statistici.
- Înregistrările DS și CDS sunt acum generate numai pe baza hash-urilor SHA-256 (generarea bazată pe SHA-1 a fost întreruptă).
- Pentru DNS Cookie (RFC 7873), algoritmul implicit este SipHash 2-4, iar suportul pentru HMAC-SHA a fost întrerupt (AES este păstrat).
- Ieșirea comenzilor dnssec-signzone și dnssec-verify este acum trimisă la ieșirea standard (STDOUT) și numai erorile și avertismentele sunt tipărite la STDERR (opțiunea -f tipărește și zona semnată). Opțiunea „-q” a fost adăugată pentru a opri ieșirea.
- Codul de validare DNSSEC a fost reelaborat pentru a elimina duplicarea codului cu alte subsisteme.
- Pentru a afișa statistici în format JSON, acum poate fi utilizată doar biblioteca JSON-C. Opțiunea de configurare „--with-libjson” a fost redenumită „--with-json-c”.
- Scriptul de configurare nu mai este implicit „--sysconfdir” în /etc și „--localstatedir” în /var decât dacă este specificat „--prefix”. Căile implicite sunt acum $prefix/etc și $prefix/var, așa cum sunt utilizate în Autoconf.
- S-a eliminat codul care implementa serviciul DLV (Domain Look-aside Verification, opțiunea dnssec-lookaside), care a fost depreciat în BIND 9.12, iar handlerul asociat dlv.isc.org a fost dezactivat în 2017. Eliminarea DLV-urilor a eliberat codul BIND de complicații inutile.
Sursa: opennet.ru