Razvijalci strežnika BIND DNS so napovedali dodajanje strežniške podpore za tehnologije DNS prek HTTPS (DoH, DNS prek HTTPS) in DNS prek TLS (DoT, DNS prek TLS), kot tudi mehanizem XFR-over-TLS za varno prenašanje vsebin DNS con med strežniki. DoH je na voljo za testiranje v izdaji 9.17, podpora za DoT pa je prisotna od izdaje 9.17.10. Po stabilizaciji bo podpora za DoT in DoH prenesena v stabilno vejo 9.17.7.
Implementacija protokola HTTP/2, ki se uporablja v DoH, temelji na uporabi knjižnice nghttp2, ki je vključena med odvisnosti sklopa (v prihodnosti je predviden prenos knjižnice v število neobveznih odvisnosti). Podprte so tako šifrirane (TLS) kot nešifrirane povezave HTTP/2. Z ustreznimi nastavitvami lahko en sam imenovan proces zdaj služi ne samo tradicionalnim poizvedbam DNS, ampak tudi poizvedbam, poslanim z uporabo DoH (DNS-over-HTTPS) in DoT (DNS-over-TLS). Podpora HTTPS na strani odjemalca (dig) še ni implementirana. Podpora za XFR-over-TLS je na voljo za dohodne in odhodne zahteve.
Obdelava zahtev z uporabo DoH in DoT je omogočena z dodajanjem možnosti http in tls v direktivo poslušanja. Če želite podpreti nešifrirani DNS prek HTTP, morate v nastavitvah določiti »tls none«. Ključi so definirani v razdelku "tls". Privzeta omrežna vrata 853 za DoT, 443 za DoH in 80 za DNS-over-HTTP je mogoče preglasiti s parametri tls-port, https-port in http-port. Na primer: tls local-tls { key-file "/path/to/priv_key.pem"; datoteka-cert "/path/to/cert_chain.pem"; }; http lokalni-http-strežnik { končne točke { "/dns-poizvedba"; }; }; možnosti { https-vrata 443; vrata za poslušanje 443 tls local-tls http myserver {any;}; }
Med značilnostmi implementacije DoH v BIND je integracija navedena kot splošni transport, ki se lahko uporablja ne samo za obdelavo zahtev odjemalcev do razreševalnika, ampak tudi pri izmenjavi podatkov med strežniki, pri prenosu območij s strani avtoritativnega strežnika DNS in pri obdelavi kakršnih koli zahtev, ki jih podpirajo drugi prenosi DNS.
Druga značilnost je možnost premika šifrirnih operacij za TLS na drug strežnik, kar je morda potrebno v pogojih, ko so potrdila TLS shranjena v drugem sistemu (na primer v infrastrukturi s spletnimi strežniki) in jih vzdržuje drugo osebje. Podpora za nešifrirani DNS-over-HTTP je implementirana za poenostavitev odpravljanja napak in kot sloj za posredovanje v internem omrežju, na podlagi katerega je mogoče organizirati šifriranje na drugem strežniku. Na oddaljenem strežniku lahko nginx uporabite za ustvarjanje prometa TLS, podobno kot je vezava HTTPS organizirana za spletna mesta.
Spomnimo se, da je DNS-over-HTTPS lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, boj proti napadom MITM in ponarejanje prometa DNS (na primer pri povezovanju z javnim omrežjem Wi-Fi), preprečevanje blokiranje na ravni DNS (DNS-over-HTTPS ne more nadomestiti VPN-ja pri obhodu blokade, implementirane na ravni DPI) ali za organizacijo dela, ko ni mogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajnem primeru zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DNS prek HTTPS zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja.
»DNS prek TLS« se razlikuje od »DNS prek HTTPS« po uporabi standardnega protokola DNS (običajno se uporabljajo omrežna vrata 853), zavitega v šifriran komunikacijski kanal, organiziran z uporabo protokola TLS s preverjanjem veljavnosti gostitelja s potrjenimi certifikati TLS/SSL s strani certifikacijskega organa. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Vir: opennet.ru