Bahlahisi ba seva sa BIND DNS ba phatlalalitse tlatsetso ea tšehetso ea seva bakeng sa DNS holim'a HTTPS (DoH, DNS holim'a HTTPS) le DNS holim'a theknoloji ea TLS (DoT, DNS over TLS), hammoho le mochini oa XFR-over-TLS bakeng sa polokeho. ho fetisa litaba tsa libaka tsa DNS lipakeng tsa li-server. DoH e teng bakeng sa tlhahlobo tokollong ea 9.17, 'me tšehetso ea DoT esale e le teng ho tloha ha e lokolloa 9.17.10. Ka mor'a ho tsitsisa, tšehetso ea DoT le DoH e tla khutlisetsoa lekaleng le tsitsitseng la 9.17.7.
Ts'ebetsong ea protocol ea HTTP/2 e sebelisitsoeng ho DoH e ipapisitse le ts'ebeliso ea laebrari ea nghttp2, e kenyellelitsoeng har'a litšepeho tsa kopano (nakong e tlang, laeborari e reretsoe ho fetisetsoa palo ea batho ba itšetlehileng ka boikhethelo). Ka bobeli li-encrypted (TLS) le likhokahano tse sa ngolisoang tsa HTTP/2 lia tšehetsoa. Ka litlhophiso tse nepahetseng, mokhoa o le mong o rehelletsoeng o ka se sebetse feela lipotso tsa setso tsa DNS, empa hape le lipotso tse rometsoeng ho sebelisoa DoH (DNS-over-HTTPS) le DoT (DNS-over-TLS). Ts'ehetso ea HTTPS ka lehlakoreng la bareki (dig) ha e so kenngoe tšebetsong. Ts'ehetso ea XFR-over-TLS e teng bakeng sa likopo tse kenang le tse tsoang kantle.
Ho kopa ts'ebetso ka ho sebelisa DoH le DoT ho lumelloa ka ho kenyelletsa likhetho tsa http le tls taelong ea ho mamela. Ho ts'ehetsa DNS-over-HTTP e sa ngolisoang, o lokela ho hlakisa "tls none" litlhophisong. Linotlolo li hlalositsoe karolong ea "tls". Likou tsa marang-rang tsa 853 bakeng sa DoT, 443 bakeng sa DoH le 80 bakeng sa DNS-over-HTTP li ka tlosoa ka har'a tls-port, https-port le http-port parameters. Ka mohlala: tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints {"/dns-query"; }; }; dikgetho { https-port 443; mamela-ho port 443 tls local-tls http myserver {leha e le efe;}; }
Har'a likarolo tsa ts'ebetsong ea DoH ho BIND, kopanyo e tsejoa e le sepalangoang se akaretsang, se ka sebelisoang eseng feela ho sebetsana le likopo tsa bareki ho se rarollang, empa hape le ha ho fapanyetsana data pakeng tsa li-server, ha ho fetisetsa libaka ka seva sa DNS se nang le matla, le ha o sebetsana le likopo tse tšehetsoeng ke lipalangoang tse ling tsa DNS.
Tšobotsi e 'ngoe ke bokhoni ba ho tsamaisa ts'ebetso ea encryption bakeng sa TLS ho seva se seng, se ka' nang sa hlokahala maemong ao li-certification tsa TLS li bolokiloeng tsamaisong e 'ngoe (mohlala, mohahong o nang le lisebelisoa tsa marang-rang) le ho hlokomeloa ke basebetsi ba bang. Ts'ehetso bakeng sa DNS-over-HTTP e sa ngolisoang e kengoa ts'ebetsong ho nolofatsa debugging le joalo ka lera bakeng sa ho fetisa marang-rang a ka hare, motheong oa hore encryption e ka hlophisoa ho seva se seng. Ho seva se hole, nginx e ka sebelisoa ho hlahisa sephethephethe sa TLS, se ts'oanang le kamoo tlamo ea HTTPS e hlophisitsoeng bakeng sa liwebsaete.
A re hopoleng hore DNS-over-HTTPS e ka ba molemo bakeng sa ho thibela ho lutla ha tlhahisoleseling mabapi le mabitso a baamoheli ba kopiloeng ka li-server tsa DNS tsa bafani, ho loants'a litlhaselo tsa MITM le DNS traffic spoofing (mohlala, ha o hokela ho Wi-Fi ea sechaba), countering. ho thibela ho ea boemong ba DNS (DNS-over-HTTPS e ke ke ea nkela VPN sebaka sa ho thibela ho thibela ho sebelisoa boemong ba DPI) kapa bakeng sa ho hlophisa mosebetsi ha ho sa khonehe ho fihlella ka ho toba li-server tsa DNS (mohlala, ha u sebetsa ka proxy). Haeba maemong a tloaelehileng likopo tsa DNS li romelloa ka kotloloho ho li-server tsa DNS tse hlalositsoeng ho tlhophiso ea sistimi, joale molemong oa DNS-over-HTTPS kopo ea ho tseba hore na aterese ea IP ea moamoheli e kentsoe sephethephethe sa HTTPS ebe e romelloa ho seva sa HTTP. mohlahlobi o etsa likopo ka Web API.
"DNS over TLS" e fapane le "DNS over HTTPS" ts'ebelisong ea protocol e tloaelehileng ea DNS (ho sebelisoa hangata marang-rang a 853), a phuthetsoe ka mocha oa puisano o patiloeng o hlophisitsoeng ho sebelisoa protocol ea TLS e hlahlobang bonnete ba moamoheli ka litifikeiti tsa TLS/SSL tse netefalitsoeng. ka lefapha la setifikeiti. Tekanyetso e teng ea DNSSEC e sebelisa encryption feela ho netefatsa moreki le seva, empa ha e sireletse sephethephethe ho tsoa ho thibelo ebile ha e fane ka tiiso ea lekunutu la likopo.
Source: opennet.ru