Në serverin DNS BIND është shtuar një mbështetje eksperimentale për DNS-over-HTTPS.

Zhvilluesit e serverit DNS BIND njoftuan shtimin në degën eksperimentale 9.17 të mbështetjes për teknologjitë "DNS mbi HTTPS" (DoH, DNS over HTTPS) dhe DNS mbi TLS (DoT, DNS over TLS), si dhe mekanizmin XFR-over-TLS për transferimin e sigurt të përmbajtjes së zonave DNS midis serverave. DoH është në dispozicion për testim në lëshimin 9.17.10, ndërsa mbështetje për DoT është e pranishme nga lëshimi 9.17.7. Pas stabilizimit, mbështetja për DoT dhe DoH do të bëhet e prapamundur në degën stabile 9.16.

Implementimi i protokollit HTTP/2, i përdorur në DoH, bazohet në përdorimin e bibliotekës nghttp2, e cila përfshihet në listën e varësive të ndërtimit (në të ardhmen, biblioteka planifikohet të kalohet në varësi opcionale). Mbështeten si lidhje të enkriptuara (TLS), ashtu edhe lidhje të paenkriptuara mbi HTTP/2. Me konfigurime të përshtatshme, një proces named tani mund të shërbejë jo vetëm kërkesat tradicionale të DNS, por edhe kërkesat e dërguara duke përdorur DoH (DNS-over-HTTPS) dhe DoT (DNS-over-TLS). Mbështetja për HTTPS në anën e klientit (dig) aktualisht nuk është implementuar. Mbështetje për XFR-over-TLS është në dispozicion si për kërkesat hyrëse, ashtu edhe për ato dalëse.

Përpunimi i kërkesave duke përdorur DoH dhe DoT aktivizohet përmes shtimit të opsioneve http dhe tls në direktivën listen-on. Për të mbështetur DNS-over-HTTP të paenkriptuar, duhet të specifikohet «tls none» në konfigurime. Çelsat përcaktohen në seksionin «tls». Portet standarde të rrjetit 853 për DoT, 443 për DoH dhe 80 për DNS-over-HTTP mund të tejkalohen përmes parametrave tls-port, https-port dhe http-port. Për shembull: tls local-tls { key-file «/path/to/priv_key.pem»; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { «/dns-query»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

Nga veçoritë e implementimit të DoH në BIND, vihet në dukje integrimi si një transport i zakonshëm, i cili mund të përdoret jo vetëm për përpunimin e kërkesave të klientëve ndaj zgjidhësit, por edhe gjatë shkëmbimit të të dhënave midis serverëve, në transferimin e zonave nga serveri autoritativ DNS dhe gjatë përpunimit të çdo kërkese të mbështetur nga transportet e tjera të DNS.

Një veçori tjetër është mundësia e transferimit të operacioneve të enkriptimit për TLS në një server tjetër, e cila mund të jetë e nevojshme kur ruajti TLS-sertifikatat në një sistem tjetër (për shembull, në infrastrukturën me web-servera) dhe mbështetet nga një personel tjetër. Mbështetje për DNS-over-HTTP të paenkriptuar është realizuar për të thjeshtuar debugging-un dhe si një nivel për kalimin në rrjetin e brendshëm, mbi të cilin mund të organizohet enkriptimi në një server tjetër. Një server i veçantë mund të përdoret për formimin e trafikut TLS me nginx, njësoj siç organizohet mbështjellja HTTPS për faqet e internetit.

Kujtojmë se DNS-over-HTTPS mund të jetë e dobishme për të eliminuar rrjedhjen e informacioneve rreth emrave të hosteve që kërkohen përmes serverëve DNS të ofruesve, për të luftuar sulmet MITM dhe ndërrimin e trafikut DNS (për shembull, gjatë lidhjes me Wi-Fi publike), dhe për t'u përballur me bllokimet në nivel DNS (DNS-over-HTTPS nuk mund të zëvendësojë) VPN në fushën e anashkalimit të bllokimeve që zbatohen në nivelin DPI) ose për të organizuar funksionimin në rastin e pamundësisë për t'u drejtuar drejpërdrejt te serverët DNS (p.sh., kur punoni përmes një prokse). Në një situatë normale, kërkesat DNS dërgohen drejtpërdrejt te serverët DNS të caktuar në konfigurimin e sistemit, ndërsa në rastin e DNS-over-HTTPS, kërkesa për përcaktimin adresat IP e hostit inkorporohet në trafikun HTTPS dhe dërgohet në serverin HTTP, në të cilin rezolvuesi përpunon kërkesat përmes Web API.

«DNS over TLS» ndryshon nga «DNS over HTTPS» përmes përdorimit të protokollit standard DNS (zakonisht përdoret porta rrjetit 853), i futur në një kanal të enkriptuar të komunikimit, e organizuar përmes protokollit TLS me verifikimin e vlefshmërisë së hostit përmes certifikatave TLS/SSL, të verifikuara nga një autoritet certifikimi. Standarti ekzistues DNSSEC përdor enkriptimin vetëm për autentifikimin e klientit dhe serverit, por nuk mbron trafikun nga kapja dhe nuk garanton privatësinë e kërkesave.

Burimi: opennet.ru

Bli një hosting të besueshëm për faqet me mbrojtje DDoS, VPS VDS serverë 🔥 Bli një hosting të besueshëm për faqet me mbrojtje DDoS, VPS VDS serverë | ProHoster