Програмери БИНД ДНС сервера најавили су додавање серверске подршке за ДНС овер ХТТПС (ДоХ, ДНС овер ХТТПС) и ДНС овер ТЛС (ДоТ, ДНС овер ТЛС) технологије, као и КСФР-овер-ТЛС механизам за безбедно пренос садржаја ДНС зона између сервера. ДоХ је доступан за тестирање у издању 9.17, а ДоТ подршка је присутна од издања 9.17.10. Након стабилизације, ДоТ и ДоХ подршка ће бити пребачена у стабилну грану 9.17.7.
Имплементација ХТТП/2 протокола који се користи у ДоХ заснива се на коришћењу библиотеке нгхттп2 која је укључена међу асемблерске зависности (у будућности се планира пребацивање библиотеке на број опционих зависности). Подржане су и шифроване (ТЛС) и нешифроване ХТТП/2 везе. Са одговарајућим подешавањима, један именовани процес сада може да служи не само традиционалним ДНС упитима, већ и упитима послатим коришћењем ДоХ (ДНС-овер-ХТТПС) и ДоТ (ДНС-овер-ТЛС). ХТТПС подршка на страни клијента (диг) још није имплементирана. КСФР-овер-ТЛС подршка је доступна и за долазне и за одлазне захтеве.
Обрада захтева користећи ДоХ и ДоТ је омогућена додавањем опција хттп и тлс у директиву слушања. Да бисте подржали нешифровани ДНС-овер-ХТТП, требало би да наведете „тлс ноне“ у подешавањима. Кључеви су дефинисани у одељку "тлс". Подразумевани мрежни портови 853 за ДоТ, 443 за ДоХ и 80 за ДНС-овер-ХТТП могу се заменити преко параметара тлс-порт, хттпс-порт и хттп-порт. На пример: тлс лоцал-тлс { кеи-филе "/патх/то/прив_кеи.пем"; церт-филе "/патх/то/церт_цхаин.пем"; }; хттп локални-хттп-сервер { крајње тачке { "/днс-куери"; }; }; опције { хттпс-порт 443; порт за слушање 443 тлс лоцал-тлс хттп мој сервер {ани;}; }
Међу карактеристикама имплементације ДоХ-а у БИНД-у, интеграција се истиче као општи транспорт, који се може користити не само за обраду захтева клијената ка разрешивачу, већ и приликом размене података између сервера, приликом преноса зона од стране ауторитативног ДНС сервера и приликом обраде било каквих захтева подржаних другим ДНС транспортима.
Још једна карактеристика је могућност премештања операција шифровања за ТЛС на други сервер, што може бити неопходно у условима када се ТЛС сертификати чувају на другом систему (на пример, у инфраструктури са веб серверима) и одржавају их друго особље. Подршка за нешифровани ДНС-овер-ХТТП је имплементирана ради поједностављења отклањања грешака и као слој за прослеђивање у интерној мрежи, на основу којег се може организовати енкрипција на другом серверу. На удаљеном серверу, нгинк се може користити за генерисање ТЛС саобраћаја, слично као што је организовано ХТТПС везивање за веб локације.
Подсетимо вас да DNS-over-HTTPS може бити користан за спречавање цурења информација о траженим именима хостова кроз DNS сервере провајдера, борбу против MITM напада и замене DNS саобраћаја (на пример, приликом повезивања на јавни Wi-Fi), и отпор блокирању на DNS нивоу (DNS-over-HTTPS не може заменити ВПН у области заобилажења блокирања имплементираног на DPI нивоу) или за организовање рада у случајевима када је директан приступ DNS серверима немогућ (на пример, при раду преко проксија). Док се у нормалној ситуацији DNS упити шаљу директно DNS серверима дефинисаним у конфигурацији система, у случају DNS-over-HTTPS захтев за одређивање ИП адресе Хост је енкапсулиран у HTTPS саобраћај и послат на HTTP сервер, где резолвер обрађује захтеве путем Web API-ја.
„ДНС преко ТЛС-а“ се разликује од „ДНС-а преко ХТТПС-а“ по коришћењу стандардног ДНС протокола (обично се користи мрежни порт 853), умотаног у шифровани комуникациони канал организован коришћењем ТЛС протокола са провером ваљаности хоста преко ТЛС/ССЛ сертификата сертификованих од стране сертификационог тела. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Извор: опеннет.ру
