Po 11 mesiacoch vývoja konzorcium ISC Prvé stabilné vydanie novej významnej vetvy servera DNS BIND 9.16. Podpora pre vetvu 9.16 bude poskytovaná počas troch rokov do 2. štvrťroka 2023 v rámci predĺženého cyklu podpory. Aktualizácie predchádzajúcej vetvy LTS 9.11 budú naďalej vydávané do decembra 2021. Podpora pre vetvu 9.14 skončí o tri mesiace.
Hlavné :
- Pridaná politika KASP (Key and Signing Policy), zjednodušený spôsob správy kľúčov DNSSEC a digitálnych podpisov, založený na nastavení pravidiel definovaných pomocou smernice „dnssec-policy“. Táto smernica umožňuje nakonfigurovať generovanie potrebných nových kľúčov pre zóny DNS a automatickú aplikáciu kľúčov ZSK a KSK.
- Sieťový subsystém bol výrazne prepracovaný a prešiel na mechanizmus asynchrónneho spracovania požiadaviek implementovaný na základe knižnice .
Prepracovanie zatiaľ neprinieslo žiadne viditeľné zmeny, ale v budúcich vydaniach poskytne príležitosť implementovať niektoré významné optimalizácie výkonu a pridať podporu pre nové protokoly, ako je DNS cez TLS. - Vylepšený proces správy dôveryhodných kotiev DNSSEC (Trust kotva, verejný kľúč viazaný na zónu na overenie pravosti tejto zóny). Namiesto nastavení dôveryhodných kľúčov a spravovaných kľúčov, ktoré sú teraz zastarané, bola navrhnutá nová smernica trust-anchors, ktorá vám umožňuje spravovať oba typy kľúčov.
Pri použití trust-anchors s kľúčovým slovom initial-key je správanie tejto direktívy totožné s riadenými kľúčmi, t.j. definuje nastavenie ukotvenia dôveryhodnosti v súlade s RFC 5011. Pri použití trust-anchors s kľúčovým slovom static-key správanie zodpovedá direktíve trusted-keys, t.j. definuje trvalý kľúč, ktorý sa automaticky neaktualizuje. Trust-anchors tiež ponúka dve ďalšie kľúčové slová, initial-ds a static-ds, ktoré vám umožňujú používať dôveryhodné kotvy vo formáte (Delegation Signer) namiesto DNSKEY, čo umožňuje konfigurovať väzby pre kľúče, ktoré ešte neboli zverejnené (organizácia IANA plánuje v budúcnosti používať formát DS pre kľúče základnej zóny).
- Do obslužných programov dig, mdig a delv bola pridaná možnosť „+yaml“ pre výstup vo formáte YAML.
- Do nástroja dig bola pridaná možnosť „+[no]unexpected“, ktorá umožňuje prijímať odpovede od iných hostiteľov, než je server, na ktorý bola požiadavka odoslaná.
- Pridaná možnosť „+[no]expandaaaa“ na vykopávanie, ktorá spôsobí, že adresy IPv6 v záznamoch AAAA sa zobrazia v plnej 128-bitovej reprezentácii, a nie vo formáte RFC 5952.
- Pridaná možnosť prepínania skupín štatistických kanálov.
- Záznamy DS a CDS sa teraz generujú iba na základe hash SHA-256 (generovanie založené na SHA-1 bolo ukončené).
- Pre DNS Cookie (RFC 7873) je predvolený algoritmus SipHash 2-4 a podpora pre HMAC-SHA bola ukončená (AES je zachovaná).
- Výstup príkazov dnssec-signzone a dnssec-verify sa teraz odosiela na štandardný výstup (STDOUT) a do STDERR sa tlačia iba chyby a varovania (voľba -f tiež vytlačí podpísanú zónu). Na stlmenie výstupu bola pridaná možnosť „-q“.
- Validačný kód DNSSEC bol prepracovaný, aby sa eliminovala duplicita kódu s inými podsystémami.
- Na zobrazenie štatistík vo formáte JSON je teraz možné použiť iba knižnicu JSON-C. Možnosť konfigurácie "--with-libjson" bola premenovaná na "--with-json-c".
- Konfiguračný skript už nemá predvolenú hodnotu "--sysconfdir" v /etc a "--localstatedir" v /var, pokiaľ nie je zadané "--prefix". Predvolené cesty sú teraz $prefix/etc a $prefix/var, ako sa používa v Autoconf.
- Odstránený kód implementujúci službu DLV (Domain Look-aside Verification, dnssec-lookaside option), ktorá bola v BIND 9.12 zastaraná, a súvisiaci obslužný nástroj dlv.isc.org bol v roku 2017 zakázaný. Odstránenie DLV oslobodilo kód BIND od zbytočných komplikácií.
Zdroj: opennet.ru