BIND DNS සේවාදායකයේ සංවර්ධකයින් විසින් DNS හරහා HTTPS (DoH, DNS හරහා HTTPS) සහ DNS හරහා TLS (DoT, DNS over TLS) තාක්ෂණයන් සඳහා මෙන්ම XFR-over-TLS යාන්ත්රණය සුරක්ෂිත කිරීම සඳහා සේවාදායක සහාය එකතු කිරීම නිවේදනය කරන ලදී. DNS කලාපවල අන්තර්ගතය සේවාදායකයන් අතර මාරු කිරීම. DoH 9.17 නිකුතුවේදී පරීක්ෂණ සඳහා ලබා ගත හැකි අතර, 9.17.10 නිකුතුවේ සිට DoT සහාය පවතී. ස්ථායීකරණයෙන් පසුව, DoT සහ DoH සහාය ස්ථාවර 9.17.7 ශාඛාව වෙත ආපසු ගෙන්වනු ලැබේ.
DoH හි භාවිතා වන HTTP/2 ප්රොටෝකෝලය ක්රියාත්මක කිරීම පදනම් වී ඇත්තේ එකලස් කිරීමේ පරායත්තතා අතර ඇතුළත් වන nghttp2 පුස්තකාලය භාවිතා කිරීම මත ය (අනාගතයේදී, පුස්තකාලය විකල්ප පරායත්ත ගණනට මාරු කිරීමට සැලසුම් කර ඇත). සංකේතාත්මක (TLS) සහ සංකේතනය නොකළ HTTP/2 සම්බන්ධතා දෙකම සඳහා සහය දක්වයි. සුදුසු සැකසීම් සමඟින්, නම් කරන ලද තනි ක්රියාවලියකට දැන් සාම්ප්රදායික DNS විමසුම් පමණක් නොව, DoH (DNS-over-HTTPS) සහ DoT (DNS-over-TLS) භාවිතයෙන් යවන විමසුම් සඳහාද සේවය කළ හැක. සේවාලාභියාගේ පැත්තේ (dig) HTTPS සහාය තවමත් ක්රියාත්මක කර නොමැත. XFR-over-TLS සහය ඇතුලට එන සහ පිටතට යන ඉල්ලීම් දෙකටම ඇත.
සවන්දීමේ විධානයට http සහ tls විකල්ප එක් කිරීමෙන් DoH සහ DoT භාවිතයෙන් ඉල්ලීම් සැකසීම සබල කෙරේ. සංකේතනය නොකළ DNS-over-HTTP සඳහා සහය දැක්වීමට, ඔබ සැකසීම් තුළ “tls කිසිවක් නැත” සඳහන් කළ යුතුය. යතුරු "tls" කොටසේ අර්ථ දක්වා ඇත. DoT සඳහා පෙරනිමි ජාල තොට 853, DoH සඳහා 443 සහ DNS-over-HTTP සඳහා 80 tls-port, https-port සහ http-port පරාමිති හරහා අභිබවා යා හැක. උදාහරණයක් ලෙස: tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; විකල්ප { https-port 443; සවන්දීමේ වරාය 443 tls local-tls http myserver {any;}; }
BIND හි DoH ක්රියාත්මක කිරීමේ විශේෂාංග අතර, ඒකාබද්ධ කිරීම සාමාන්ය ප්රවාහනයක් ලෙස සටහන් වේ, එය සේවාදායකයා වෙත සේවාදායක ඉල්ලීම් සැකසීමට පමණක් නොව, සේවාදායකයන් අතර දත්ත හුවමාරු කිරීමේදී, බලයලත් DNS සේවාදායකයක් මඟින් කලාප මාරු කිරීමේදී සහ වෙනත් DNS ප්රවාහන මගින් සහය දක්වන ඕනෑම ඉල්ලීමක් සැකසීමේදී.
තවත් විශේෂාංගයක් වන්නේ TLS සඳහා සංකේතාංකන මෙහෙයුම් වෙනත් සේවාදායකයකට ගෙන යාමේ හැකියාවයි, TLS සහතික වෙනත් පද්ධතියක (උදාහරණයක් ලෙස, වෙබ් සේවාදායකයන් සහිත යටිතල ව්යූහයක) ගබඩා කර ඇති සහ වෙනත් පුද්ගලයින් විසින් නඩත්තු කරන තත්වයන් තුළ අවශ්ය විය හැකිය. සංකේතනය නොකළ DNS-over-HTTP සඳහා සහය දෝශ නිරාකරණය සරල කිරීමට සහ අභ්යන්තර ජාලය තුළ ඉදිරියට යැවීම සඳහා ස්ථරයක් ලෙස ක්රියාත්මක කර ඇති අතර, එහි පදනම මත වෙනත් සේවාදායකයක සංකේතනය සංවිධානය කළ හැකිය. දුරස්ථ සේවාදායකයක, වෙබ් අඩවි සඳහා HTTPS බන්ධනය සංවිධානය කර ඇති ආකාරයටම, TLS ගමනාගමනය උත්පාදනය කිරීමට nginx භාවිතා කළ හැක.
DNS-over-HTTPS සපයන්නන්ගේ DNS සේවාදායකයන් හරහා ඉල්ලුම් කරන ලද ධාරක නාම පිළිබඳ තොරතුරු කාන්දු වීම වැළැක්වීමට, MITM ප්රහාරවලට එරෙහිව සටන් කිරීමට සහ DNS මාර්ග තදබදයට එරෙහිව (උදාහරණයක් ලෙස, පොදු Wi-Fi වෙත සම්බන්ධ වන විට), ප්රති-HTTPS ප්රයෝජනවත් විය හැකි බව අපි සිහිපත් කරමු. DNS මට්ටමින් අවහිර කිරීම (ඩීපීඅයි මට්ටමින් ක්රියාත්මක කරන ලද අවහිර කිරීම් මඟ හැරීමේදී ඩීඑන්එස්-ඕවර්-එච්ටීටීපීඑස්ට වීපීඑන් ප්රතිස්ථාපනය කළ නොහැක) හෝ ඩීඑන්එස් සේවාදායකයන්ට කෙලින්ම ප්රවේශ වීමට නොහැකි විට වැඩ සංවිධානය කිරීම සඳහා (උදාහරණයක් ලෙස, ප්රොක්සියක් හරහා වැඩ කරන විට). සාමාන්ය තත්වයකදී DNS ඉල්ලීම් සෘජුවම පද්ධති වින්යාසය තුළ නිර්වචනය කර ඇති DNS සේවාදායකයන් වෙත යවනු ලැබුවහොත්, DNS-over-HTTPS වලදී ධාරක IP ලිපිනය තීරණය කිරීම සඳහා වන ඉල්ලීම HTTPS ගමනාගමනය තුළ කොටු කර HTTP සේවාදායකය වෙත යවනු ලැබේ. Resolver විසින් Web API හරහා ඉල්ලීම් සකසයි.
"DNS over TLS" සම්මත DNS ප්රොටෝකෝලය භාවිතයෙන් "DNS හරහා HTTPS" ට වඩා වෙනස් වේ (ජාල වරාය 853 සාමාන්යයෙන් භාවිතා වේ), TLS ප්රොටෝකෝලය භාවිතයෙන් සංවිධානය කරන ලද සංකේතාත්මක සන්නිවේදන නාලිකාවක ඔතා TLS/SSL සහතික හරහා ධාරක වලංගුභාවය පරීක්ෂා කරයි. සහතික කිරීමේ අධිකාරියක් මගින්. පවතින DNSSEC ප්රමිතිය සේවාලාභියා සහ සේවාදායකය සත්යාපනය කිරීමට පමණක් සංකේතනය භාවිතා කරයි, නමුත් බාධා කිරීම් වලින් ගමනාගමනය ආරක්ෂා නොකරන අතර ඉල්ලීම්වල රහස්යභාවය සහතික නොකරයි.
මූලාශ්රය: opennet.ru