Po 11 mesecih razvoja je konzorcij ISC Prva stabilna izdaja nove pomembne veje strežnika DNS BIND 9.16. Podpora za vejo 9.16 bo zagotovljena tri leta do 2. četrtletja 2023 kot del razširjenega cikla podpore. Posodobitve za prejšnjo vejo LTS 9.11 bodo še naprej izhajale do decembra 2021. Podpora za vejo 9.14 bo prenehala čez tri mesece.
Glavni :
- Dodan KASP (Key and Signing Policy), poenostavljen način za upravljanje ključev DNSSEC in digitalnih podpisov, ki temelji na nastavitvah pravil, definiranih z uporabo direktive »dnssec-policy«. Ta direktiva vam omogoča, da konfigurirate ustvarjanje potrebnih novih ključev za cone DNS in samodejno uporabo ključev ZSK in KSK.
- Omrežni podsistem je bil bistveno preoblikovan in preklopljen na mehanizem za asinhrono obdelavo zahtev, implementiran na osnovi knjižnice .
Predelava še ni povzročila nobenih vidnih sprememb, vendar bo v prihodnjih izdajah zagotovila priložnost za implementacijo nekaterih pomembnih optimizacij delovanja in dodajanje podpore za nove protokole, kot je DNS prek TLS. - Izboljšan postopek za upravljanje sider zaupanja DNSSEC (sidro zaupanja, javni ključ, vezan na območje za preverjanje pristnosti tega območja). Namesto nastavitev zaupanja vrednih in upravljanih ključev, ki so zdaj opuščene, je bila predlagana nova direktiva o sidrih zaupanja, ki omogoča upravljanje obeh vrst ključev.
Pri uporabi sider zaupanja s ključno besedo začetni ključ je vedenje te direktive enako upravljanim ključem, tj. definira nastavitev sidra zaupanja v skladu z RFC 5011. Pri uporabi sider zaupanja s ključno besedo static-key vedenje ustreza direktivi zaupanja vrednih ključev, tj. definira trajni ključ, ki se ne posodablja samodejno. Trust-anchors ponuja tudi dve dodatni ključni besedi, initial-ds in static-ds, ki vam omogočata uporabo zaupanja sider v formatu (Delegation Signer) namesto DNSKEY, ki omogoča konfiguracijo vezav za ključe, ki še niso bili objavljeni (organizacija IANA načrtuje uporabo formata DS za ključe jedrnega območja v prihodnosti).
- Možnost »+yaml« je bila dodana pripomočkom dig, mdig in delv za izpis v formatu YAML.
- Pripomočku za kopanje je bila dodana možnost »+[ni]nepričakovano«, ki omogoča sprejem odgovorov od gostiteljev, ki niso strežnik, na katerega je bila poslana zahteva.
- Dodana možnost »+[no]expandaaaa« pripomočku za kopanje, ki povzroči, da so naslovi IPv6 v zapisih AAAA prikazani v polni 128-bitni predstavitvi namesto v formatu RFC 5952.
- Dodana možnost preklopa skupin statističnih kanalov.
- Zapisi DS in CDS se zdaj generirajo samo na podlagi zgoščenih vrednosti SHA-256 (generiranje na podlagi SHA-1 je bilo opuščeno).
- Za piškotek DNS (RFC 7873) je privzeti algoritem SipHash 2-4, podpora za HMAC-SHA pa je bila ukinjena (AES je ohranjen).
- Izhod ukazov dnssec-signzone in dnssec-verify je zdaj poslan v standardni izhod (STDOUT), v STDERR pa se natisnejo samo napake in opozorila (možnost -f natisne tudi podpisano območje). Za utišanje izhoda je bila dodana možnost "-q".
- Potrditvena koda DNSSEC je bila predelana za odpravo podvajanja kode z drugimi podsistemi.
- Za prikaz statističnih podatkov v formatu JSON je zdaj mogoče uporabiti samo knjižnico JSON-C. Možnost konfiguracije "--with-libjson" je bila preimenovana v "--with-json-c".
- Konfiguracijski skript ni več privzeto nastavljen na "--sysconfdir" v /etc in "--localstatedir" v /var, razen če je podana "--prefix". Privzeti poti sta zdaj $prefix/etc in $prefix/var, kot se uporabljata v Autoconf.
- Odstranjena koda, ki implementira storitev DLV (Domain Look-aside Verification, dnssec-lookaside option), ki je bila opuščena v BIND 9.12, povezan upravljalnik dlv.isc.org pa je bil leta 2017 onemogočen. Odstranitev DLV-jev je kodo BIND osvobodila nepotrebnih zapletov.
Vir: opennet.ru