Zhvilluesit e serverit BIND DNS njoftuan shtimin e mbështetjes së serverit për teknologjitë DNS mbi HTTPS (DoH, DNS mbi HTTPS) dhe DNS mbi TLS (DoT, DNS mbi TLS), si dhe mekanizmin XFR-over-TLS për sigurinë. transferimi i përmbajtjes së zonave DNS ndërmjet serverëve. DoH është i disponueshëm për testim në versionin 9.17 dhe mbështetja DoT ka qenë e pranishme që nga lëshimi 9.17.10. Pas stabilizimit, mbështetja e DoT dhe DoH do të raportohet në degën e qëndrueshme 9.17.7.
Zbatimi i protokollit HTTP/2 i përdorur në DoH bazohet në përdorimin e bibliotekës nghttp2, e cila përfshihet në varësitë e asamblesë (në të ardhmen, biblioteka është planifikuar të transferohet në numrin e varësive opsionale). Mbështeten të dyja lidhjet e koduara (TLS) dhe HTTP/2 të pakriptuara. Me cilësimet e duhura, një proces i vetëm me emër mund të shërbejë tani jo vetëm pyetje tradicionale DNS, por edhe pyetje të dërguara duke përdorur DoH (DNS-mbi-HTTPS) dhe DoT (DNS-mbi-TLS). Mbështetja HTTPS në anën e klientit (gërmimi) nuk është zbatuar ende. Mbështetja XFR-over-TLS është e disponueshme si për kërkesat hyrëse ashtu edhe për ato dalëse.
Përpunimi i kërkesave duke përdorur DoH dhe DoT aktivizohet duke shtuar opsionet http dhe tls në direktivën e dëgjimit. Për të mbështetur DNS-mbi-HTTP të pakriptuar, duhet të specifikoni "tls none" në cilësimet. Çelësat përcaktohen në seksionin "tls". Portat e paracaktuar të rrjetit 853 për DoT, 443 për DoH dhe 80 për DNS-mbi-HTTP mund të anashkalohen përmes parametrave tls-port, https-port dhe http-port. Për shembull: tls local-tls { key-file "/path/to/priv_key.pem"; cert-skedar "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsionet { https-port 443; porta e dëgjimit 443 tls local-tls http myserver {any;}; }
Ndër veçoritë e zbatimit të DoH në BIND, integrimi vihet re si një transport i përgjithshëm, i cili mund të përdoret jo vetëm për të përpunuar kërkesat e klientit tek zgjidhësi, por edhe gjatë shkëmbimit të të dhënave midis serverëve, kur transferoni zona nga një server autoritar DNS, dhe kur përpunoni çdo kërkesë të mbështetur nga transporte të tjera DNS.
Një veçori tjetër është aftësia për të zhvendosur operacionet e enkriptimit për TLS në një server tjetër, i cili mund të jetë i nevojshëm në kushtet kur certifikatat TLS ruhen në një sistem tjetër (për shembull, në një infrastrukturë me serverë ueb) dhe mirëmbahen nga personeli tjetër. Mbështetja për DNS-mbi-HTTP të pakriptuar zbatohet për të thjeshtuar korrigjimin dhe si një shtresë për përcjelljen në rrjetin e brendshëm, në bazë të të cilit mund të organizohet enkriptimi në një server tjetër. Në një server të largët, nginx mund të përdoret për të gjeneruar trafik TLS, ngjashëm me mënyrën se si organizohet lidhja HTTPS për faqet e internetit.
Le të kujtojmë se DNS-mbi-HTTPS mund të jetë i dobishëm për parandalimin e rrjedhjeve të informacionit në lidhje me emrat e kërkuar të pritësve përmes serverëve DNS të ofruesve, për të luftuar sulmet MITM dhe mashtrimin e trafikut DNS (për shembull, kur lidheni me Wi-Fi publik), kundërvënien bllokimi në nivel DNS (DNS-mbi-HTTPS nuk mund të zëvendësojë një VPN në anashkalimin e bllokimit të zbatuar në nivelin DPI) ose për organizimin e punës kur është e pamundur të aksesosh drejtpërdrejt serverët DNS (për shembull, kur punoni përmes një përfaqësuesi). Nëse në një situatë normale kërkesat DNS dërgohen drejtpërdrejt te serverët DNS të përcaktuar në konfigurimin e sistemit, atëherë në rastin e DNS-mbi-HTTPS kërkesa për të përcaktuar adresën IP të hostit inkapsulohet në trafikun HTTPS dhe dërgohet në serverin HTTP, ku zgjidhësi përpunon kërkesat nëpërmjet Web API.
"DNS mbi TLS" ndryshon nga "DNS mbi HTTPS" në përdorimin e protokollit standard DNS (përdoret zakonisht porta e rrjetit 853), e mbështjellë në një kanal komunikimi të koduar të organizuar duke përdorur protokollin TLS me kontrollimin e vlefshmërisë së hostit përmes certifikatave TLS/SSL të certifikuara nga një autoritet certifikues. Standardi ekzistues DNSSEC përdor enkriptimin vetëm për të vërtetuar klientin dhe serverin, por nuk mbron trafikun nga përgjimi dhe nuk garanton konfidencialitetin e kërkesave.
Burimi: opennet.ru