BIND DNS سرور جي ڊولپرز DNS لاءِ سرور سپورٽ شامل ڪرڻ جو اعلان ڪيو HTTPS (DoH، DNS مٿان HTTPS) ۽ DNS مٿان TLS (DoT، DNS مٿان TLS) ٽيڪنالاجي، انهي سان گڏ محفوظ ڪرڻ لاءِ XFR-over-TLS ميڪانيزم. DNS زونن جي مواد کي سرور جي وچ ۾ منتقل ڪرڻ. DoH ريليز 9.17 ۾ جاچ لاءِ موجود آهي، ۽ DoT سپورٽ 9.17.10 ڇڏڻ کان وٺي موجود آهي. استحڪام کان پوء، DoT ۽ DoH سپورٽ کي مستحڪم 9.17.7 برانچ ڏانهن واپس ڪيو ويندو.
DoH ۾ استعمال ٿيل HTTP/2 پروٽوڪول جو نفاذ nghttp2 لائبريري جي استعمال تي مبني آهي، جيڪو اسيمبلي جي انحصار ۾ شامل آهي (مستقبل ۾، لائبريري کي اختياري انحصار جي تعداد ۾ منتقل ڪرڻ جي منصوبابندي ڪئي وئي آهي). ٻئي انڪريپٽ ٿيل (TLS) ۽ اڻ ڳڻي HTTP/2 ڪنيڪشن سپورٽ آهن. مناسب سيٽنگن سان، ھڪڙي نالي وارو عمل ھاڻي نه رڳو روايتي DNS سوالن جي خدمت ڪري سگھي ٿو، پر DoH (DNS-over-HTTPS) ۽ DoT (DNS-over-TLS) استعمال ڪندي موڪليل سوال پڻ. ڪلائنٽ سائڊ تي HTTPS سپورٽ (dig) اڃا تائين لاڳو نه ڪيو ويو آهي. XFR-over-TLS سپورٽ ٻنهي انبائونڊ ۽ آئوٽ بائونڊ درخواستن لاءِ موجود آهي.
DoH ۽ DoT استعمال ڪندي درخواست جي پروسيسنگ کي فعال ڪيو ويو آهي http ۽ tls آپشنز کي شامل ڪرڻ سان. غير انڪرپٽ ٿيل DNS-over-HTTP کي سپورٽ ڪرڻ لاءِ، توھان کي سيٽنگن ۾ ”tls none“ بيان ڪرڻ گھرجي. ڪنجيون "tls" سيڪشن ۾ بيان ڪيون ويون آهن. ڊفالٽ نيٽ ورڪ بندرگاهن 853 DoT لاءِ، 443 DoH لاءِ ۽ 80 DNS-over-HTTP لاءِ tls-port، https-port ۽ http-port parameters ذريعي ختم ڪري سگھجن ٿا. مثال طور: tls local-tls { key-file "/path/to/priv_key.pem"؛ cert-file "/path/to/cert_chain.pem"؛ }؛ http local-http-server { endpoints { "/dns-query"؛ }؛ }؛ اختيارن {https-port 443؛ ٻڌڻ تي پورٽ 443 tls local-tls http myserver {any;}; }
BIND ۾ DoH عمل درآمد جي خاصيتن ۾، انضمام کي عام ٽرانسپورٽ جي طور تي نوٽ ڪيو ويو آهي، جيڪو استعمال ڪري سگهجي ٿو نه رڳو ڪلائنٽ جي درخواستن کي حل ڪرڻ لاء، پر اهو پڻ جڏهن سرورز جي وچ ۾ ڊيٽا جي بدلي، جڏهن هڪ مستند DNS سرور طرفان زون کي منتقل ڪرڻ، ۽ جڏهن ٻين DNS ٽرانسپورٽ جي حمايت ڪيل ڪنهن به درخواستن تي عمل ڪندي.
ٻي خصوصيت TLS لاءِ انڪرپشن عملن کي ٻئي سرور ڏانهن منتقل ڪرڻ جي صلاحيت آهي، جيڪا شايد انهن حالتن ۾ ضروري هجي جتي TLS سرٽيفڪيٽ ڪنهن ٻئي سسٽم تي محفوظ ڪيا وڃن (مثال طور، ويب سرورز سان گڏ انفراسٽرڪچر ۾) ۽ ٻين اهلڪارن طرفان برقرار رکيا وڃن. غير انڪرپٽ ٿيل DNS-over-HTTP لاءِ سپورٽ ڊيبگنگ کي آسان ڪرڻ ۽ اندروني نيٽ ورڪ ۾ فارورڊنگ لاءِ هڪ پرت جي طور تي لاڳو ڪئي وئي آهي، جنهن جي بنياد تي انڪريپشن کي ٻئي سرور تي منظم ڪري سگهجي ٿو. ريموٽ سرور تي، nginx استعمال ڪري سگھجي ٿو TLS ٽرئفڪ پيدا ڪرڻ لاءِ، جھڙي طرح ويب سائيٽن لاءِ HTTPS بائنڊنگ منظم ٿيل آھي.
اچو ته ياد رکون ته DNS-over-HTTPS مهيا ڪندڙن جي DNS سرورز ذريعي درخواست ڪيل ميزبان نالن بابت معلومات جي ليڪ کي روڪڻ لاءِ ڪارائتو ٿي سگهي ٿو، MITM حملن کي منهن ڏيڻ ۽ DNS ٽرئفڪ جي اسپفنگ (مثال طور، جڏهن عوامي وائي فائي سان ڳنڍڻ)، انسداد DNS سطح تي بلاڪ ڪرڻ (DNS-over-HTTPS DPI سطح تي لاڳو ٿيل بلاڪنگ کي بائي پاس ڪرڻ ۾ VPN کي تبديل نٿو ڪري سگهي) يا ڪم کي منظم ڪرڻ لاءِ جڏهن سڌو سنئون DNS سرور تائين رسائي ناممڪن آهي (مثال طور، جڏهن هڪ پراڪسي ذريعي ڪم ڪندي). جيڪڏهن عام صورتحال ۾ DNS درخواستون سڌو سنئون DNS سرور ڏانهن موڪليا وڃن ٿيون جيڪي سسٽم جي ترتيب ۾ بيان ڪيل آهن، پوء DNS-over-HTTPS جي صورت ۾ ميزبان IP پتي کي طئي ڪرڻ جي درخواست HTTPS ٽرئفڪ ۾ شامل ڪئي وئي آهي ۽ HTTP سرور ڏانهن موڪليو ويو آهي، جتي حل ڪندڙ ويب API ذريعي درخواستن تي عمل ڪري ٿو.
"DNS over TLS" معياري DNS پروٽوڪول جي استعمال ۾ "DNS over HTTPS" کان مختلف آهي (نيٽ ورڪ پورٽ 853 عام طور تي استعمال ڪيو ويندو آهي)، هڪ اينڪريپٽ ٿيل ڪميونيڪيشن چينل ۾ ويڙهيل TLS پروٽوڪول کي استعمال ڪندي منظم ڪيل TLS/SSL سرٽيفڪيٽن ذريعي تصديق ٿيل ميزباني جي تصديق سان. هڪ سرٽيفڪيشن اٿارٽي طرفان. موجوده DNSSEC معيار صرف ڪلائنٽ ۽ سرور جي تصديق ڪرڻ لاءِ انڪرپشن استعمال ڪري ٿو، پر ٽرئفڪ کي مداخلت کان نٿو بچائي ۽ درخواستن جي رازداري جي ضمانت نٿو ڏئي.
جو ذريعو: opennet.ru