O le au atiaʻe o le BIND DNS server na faʻasalalau le faʻaopoopoina o le lagolago a le server mo DNS i luga o HTTPS (DoH, DNS i luga o HTTPS) ma DNS i luga ole TLS (DoT, DNS i luga ole TLS) tekinolosi, faʻapea foʻi ma le XFR-over-TLS masini mo le malupuipuia. fa'aliliuina mea o lo'o i totonu o sone DNS i le va o 'au'aunaga. O lo'o avanoa le DoH mo su'ega ile fa'asalalauga 9.17, ma o lo'o iai le lagolago a le DoT talu mai le fa'asalalauga 9.17.10. A mae'a fa'amautu, o le a toe fa'afo'i le lagolago a le DoT ma le DoH i le lala 9.17.7 mautu.
O le faʻatinoga o le HTTP/2 protocol faʻaaogaina i le DoH e faʻavae i luga o le faʻaogaina o le nghttp2 faletusi, lea e aofia ai i totonu o faʻalapotopotoga faʻapitoa (i le lumanaʻi, o le faletusi ua fuafua e faʻafeiloaʻi i le numera o faʻalagolago i le filifiliga). O feso'ota'iga fa'ailoga (TLS) ma HTTP/2 e le'i fa'ailogaina e lagolagoina. Faatasi ai ma tulaga talafeagai, o se faiga e tasi e igoa e mafai nei ona le gata i fesili DNS masani, ae faapea foi ma fesili e auina atu e faaaoga ai le DoH (DNS-over-HTTPS) ma le DoT (DNS-over-TLS). E le'i fa'atinoina le lagolago HTTPS i le itu o tagata o tausia (eli). E avanoa le lagolago XFR-over-TLS mo talosaga i totonu ma fafo.
Talosaga gaioiga e fa'aaoga ai le DoH ma le DoT e mafai ona fa'aopoopo le http ma le tls filifiliga i le fa'atonuga fa'alogo. Ina ia lagolagoina le DNS-over-HTTP e leʻi faʻapipiʻiina, e tatau ona e faʻamaonia "tls leai" i totonu o faʻatulagaga. O lo'o fa'amatalaina ki i le vaega "tls". O ports feso'ota'iga fa'aletonu 853 mo DoT, 443 mo DoH ma le 80 mo DNS-over-HTTP e mafai ona fa'asolo i le tls-port, https-port ma le http-port parameters. Mo se fa'ata'ita'iga: tls local-tls { key-file "/path/to/priv_key.pem"; tusi-faila "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; filifiliga { https-port 443; fa'alogo-i luga o le taulaga 443 tls local-tls http myserver {so'o;}; }
Faatasi ai ma foliga o le faʻatinoga o le DoH i le BIND, o le tuʻufaʻatasia o loʻo taʻua o se felauaiga lautele, lea e mafai ona faʻaaogaina e le gata e faʻatautaia talosaga a le tagata o tausia i le tagata e foia, ae faʻapea foʻi pe a fesuiaʻi faʻamatalaga i le va o sapalai, pe a fesiitai sone e se DNS server pule, ma pe a faʻatautaia soʻo se talosaga e lagolagoina e isi felauaiga DNS.
O le isi vaega o le mafai lea ona fa'agasolo galuega fa'ailoga mo TLS i se isi 'au'aunaga, lea e ono mana'omia i tulaga o lo'o teuina ai tusi pasi TLS i luga o se isi faiga (mo se fa'ata'ita'iga, i totonu o se atina'e ma 'upega tafa'ilagi) ma tausia e isi tagata faigaluega. Lagolago mo le DNS-over-HTTP e leʻi faʻapipiʻiina e faʻatinoina e faʻafaigofie ai le faʻapipiʻiina ma avea o se laulau mo le tuʻuina atu i totonu o fesoʻotaiga i totonu, i luga o le faʻavae e mafai ona faʻatulagaina faʻamatalaga i luga o se isi server. I luga o se 'auʻaunaga mamao, e mafai ona faʻaogaina le nginx e faʻatupu ai fefaʻatauaiga TLS, e tutusa ma le faʻatulagaina o le HTTPS faʻapipiʻi mo luga o upega tafaʻilagi.
Sei o tatou manatua o le DNS-over-HTTPS e mafai ona aoga mo le puipuia o faʻamatalaga o faʻamatalaga e uiga i igoa talimalo o loʻo talosagaina e ala i le DNS servers o loʻo tuʻuina atu, faʻafeiloaʻi osofaʻiga MITM ma DNS traffic spoofing (mo se faʻataʻitaʻiga, pe a faʻafesoʻotaʻi i Wi-Fi lautele), faʻafetaui. poloka i luga ole laiga DNS (DNS-over-HTTPS e le mafai ona suitulaga i se VPN i le pasia o le polokaina o loʻo faʻatinoina ile tulaga DPI) poʻo le faʻatulagaina o galuega pe a le mafai ona maua saʻo saʻo DNS (mo se faʻataʻitaʻiga, pe a galue e ala i se sui). Afai i se tulaga masani, o talosaga DNS e tuʻu saʻo atu i le DNS servers ua faʻamatalaina i le faatulagaga o le system, ona i ai lea i le tulaga o DNS-over-HTTPS o le talosaga e fuafua ai le tuatusi IP talimalo o loʻo faʻapipiʻiina i totonu o fefaʻatauaiga HTTPS ma auina atu i le server HTTP, lea. e fa'agasolo e le tagata fo'i talosaga e ala i le Web API.
"DNS i luga ole TLS" e ese mai le "DNS i luga ole HTTPS" i le faʻaaogaina o le DNS protocol (tele fesoʻotaʻiga port 853 e masani ona faʻaaogaina), afifi i se auala fesoʻotaʻiga faʻapipiʻi faʻatulagaina e faʻaogaina ai le TLS protocol ma le siakiina o le faʻamaoniaina o le talimalo e ala ile TLS/SSL tusi faamaonia. e se pulega fa'amaonia. Ole tulaga ole DNSSEC o lo'o i ai nei e fa'aogaina fa'ailoga e fa'amaonia ai le kalani ma le server, ae e le puipuia ai felauaiga mai fa'alavelave ma e le fa'amaonia ai le agatapuia o talosaga.
puna: opennet.ru