Pas 11 muajsh zhvillimi, konsorciumi ISC Lëshimi i parë i qëndrueshëm i një dege të re të rëndësishme të serverit BIND 9.16 DNS. Mbështetja për degën 9.16 do të ofrohet për tre vjet deri në tremujorin e dytë të 2, si pjesë e një cikli të zgjatur mbështetjeje. Përditësimet për degën e mëparshme LTS 2023 do të vazhdojnë të lëshohen deri në dhjetor 9.11. Mbështetja për degën 2021 do të përfundojë në tre muaj.
Kryesore :
- U shtua KASP (Key and Signing Policy), një mënyrë e thjeshtuar për të menaxhuar çelësat DNSSEC dhe nënshkrimet dixhitale, bazuar në rregullat e përcaktimit të përcaktuara duke përdorur direktivën "dnssec-policy". Kjo direktivë ju lejon të konfiguroni gjenerimin e çelësave të rinj të nevojshëm për zonat DNS dhe aplikimin automatik të çelësave ZSK dhe KSK.
- Nënsistemi i rrjetit është ridizajnuar në mënyrë të konsiderueshme dhe ka kaluar në një mekanizëm asinkron të përpunimit të kërkesave të zbatuar në bazë të bibliotekës .
Ripërpunimi nuk ka rezultuar ende në ndonjë ndryshim të dukshëm, por në publikimet e ardhshme do të ofrojë mundësinë për të zbatuar disa optimizime të rëndësishme të performancës dhe për të shtuar mbështetje për protokollet e reja si DNS mbi TLS. - Procesi i përmirësuar për menaxhimin e ankorave të besimit DNSSEC (Trust anchor, një çelës publik i lidhur me një zonë për të verifikuar vërtetësinë e kësaj zone). Në vend të cilësimeve të çelësave të besuar dhe çelësave të menaxhuar, të cilat tani janë të vjetruara, është propozuar një direktivë e re e ankorimit të besimit që ju lejon të menaxhoni të dy llojet e çelësave.
Kur përdorni ankorë besimi me fjalën kyçe fillestare, sjellja e kësaj direktive është identike me çelësat e menaxhuar, d.m.th. përcakton vendosjen e ankorimit të besimit në përputhje me RFC 5011. Kur përdorni ankorat e besimit me fjalën kyçe statike, sjellja korrespondon me direktivën e çelësave të besuar, d.m.th. përcakton një çelës të vazhdueshëm që nuk përditësohet automatikisht. Trust-anchors ofron gjithashtu dy fjalë kyçe të tjera, fillestare-ds dhe static-ds, të cilat ju lejojnë të përdorni ankorat e besimit në format (Delegation Signer) në vend të DNSKEY, i cili bën të mundur konfigurimin e lidhjeve për çelësat që nuk janë publikuar ende (organizata IANA planifikon të përdorë formatin DS për çelësat e zonës bazë në të ardhmen).
- Opsioni "+yaml" është shtuar në shërbimet dig, mdig dhe delv për dalje në formatin YAML.
- Opsioni "+[jo]i papritur" është shtuar në programin dig, duke lejuar marrjen e përgjigjeve nga hostë të ndryshëm nga serveri në të cilin është dërguar kërkesa.
- U shtua opsioni "+[no]expandaaaa" për të gërmuar, gjë që bën që adresat IPv6 në të dhënat AAAA të shfaqen në përfaqësim të plotë 128-bit, në vend të formatit RFC 5952.
- U shtua aftësia për të ndërruar grupe kanalesh statistikore.
- Regjistrimet DS dhe CDS tani gjenerohen vetëm në bazë të hasheve SHA-256 (gjenerimi i bazuar në SHA-1 është ndërprerë).
- Për DNS Cookie (RFC 7873), algoritmi i parazgjedhur është SipHash 2-4 dhe mbështetja për HMAC-SHA është ndërprerë (AES është ruajtur).
- Dalja e komandave dnssec-signzone dhe dnssec-verify dërgohet tani në daljen standarde (STDOUT), dhe vetëm gabimet dhe paralajmërimet shtypen në STDERR (opsioni -f gjithashtu printon zonën e nënshkruar). Opsioni "-q" është shtuar për të heshtur daljen.
- Kodi i vlefshmërisë DNSSEC është ripunuar për të eliminuar dyfishimin e kodit me nënsisteme të tjera.
- Për të shfaqur statistikat në formatin JSON, tani mund të përdoret vetëm biblioteka JSON-C. Opsioni i konfigurimit "--with-libjson" është riemërtuar në "--with-json-c".
- Skripti i konfigurimit nuk është më i paracaktuar në "--sysconfdir" në /etc dhe "--localstatedir" në /var përveç nëse specifikohet "--prefiksi". Shtigjet e paracaktuara tani janë $prefix/etc dhe $prefix/var, siç përdoren në Autoconf.
- U hoq kodi që zbatonte shërbimin DLV (Verifikimi i Domainit, opsioni dnssec-lookaside), i cili u zhvlerësua në BIND 9.12 dhe mbajtësi i lidhur dlv.isc.org u çaktivizua në 2017. Heqja e DLV-ve e çliroi kodin BIND nga ndërlikimet e panevojshme.
Burimi: opennet.ru