Efter 11 månaders utveckling, ISC-konsortiet Den första stabila utgåvan av en ny betydande gren av BIND 9.16 DNS-servern. Stöd för filial 9.16 kommer att ges under tre år fram till 2:a kvartalet 2023 som en del av en utökad supportcykel. Uppdateringar för den tidigare LTS-grenen 9.11 kommer att fortsätta att släppas till december 2021. Stödet för filial 9.14 upphör om tre månader.
Den huvudsakliga :
- Lade till KASP (Key and Signing Policy), ett förenklat sätt att hantera DNSSEC-nycklar och digitala signaturer, baserat på inställningsregler definierade med "dnssec-policy"-direktivet. Detta direktiv låter dig konfigurera genereringen av nödvändiga nya nycklar för DNS-zoner och den automatiska tillämpningen av ZSK- och KSK-nycklar.
- Nätverksundersystemet har avsevärt omdesignats och bytts till en asynkron mekanism för förfrågningsbehandling implementerad baserat på biblioteket .
Omarbetningen har ännu inte resulterat i några synliga förändringar, men i framtida releaser kommer det att ge möjlighet att implementera några betydande prestandaoptimeringar och lägga till stöd för nya protokoll som DNS över TLS. - Förbättrad process för hantering av DNSSEC-förtroendeankare (Trustankare, en offentlig nyckel kopplad till en zon för att verifiera denna zons äkthet). Istället för inställningarna för betrodda nycklar och hanterade nycklar, som nu är utfasade, har ett nytt direktiv för förtroendeankare föreslagits som låter dig hantera båda typerna av nycklar.
När du använder förtroendeankare med nyckelordet initial-key är beteendet i detta direktiv identiskt med hanterade nycklar, dvs. definierar trustanchor-inställningen i enlighet med RFC 5011. När man använder trust-anchors med nyckelordet static-key motsvarar beteendet Trusted-keys-direktivet, dvs. definierar en beständig nyckel som inte uppdateras automatiskt. Trust-anchors erbjuder också ytterligare två sökord, initial-ds och static-ds, som låter dig använda trust-anchors i formatet (Delegation Signer) istället för DNSKEY, vilket gör det möjligt att konfigurera bindningar för nycklar som ännu inte har publicerats (IANA-organisationen planerar att använda DS-formatet för kärnzonnycklar i framtiden).
- Alternativet "+yaml" har lagts till i verktygen dig, mdig och delv för utdata i YAML-format.
- Alternativet "+[no]unexpected" har lagts till i dig-verktyget, vilket gör det möjligt att ta emot svar från andra värdar än servern som begäran skickades till.
- Lade till "+[no]expandaaaa"-alternativet för att gräva verktyget, vilket gör att IPv6-adresser i AAAA-poster visas i full 128-bitars representation, snarare än i RFC 5952-format.
- Lade till möjligheten att byta grupper av statistikkanaler.
- DS- och CDS-poster genereras nu endast baserat på SHA-256-hashar (generation baserad på SHA-1 har avbrutits).
- För DNS Cookie (RFC 7873) är standardalgoritmen SipHash 2-4, och stödet för HMAC-SHA har upphört (AES behålls).
- Utdata från kommandona dnssec-signzone och dnssec-verify skickas nu till standardutgången (STDOUT), och endast fel och varningar skrivs ut till STDERR (alternativet -f skriver också ut den signerade zonen). Alternativet "-q" har lagts till för att stänga av ljudet.
- DNSSEC-valideringskoden har omarbetats för att eliminera kodduplicering med andra delsystem.
- För att visa statistik i JSON-format kan nu bara JSON-C-biblioteket användas. Konfigurationsalternativet "--with-libjson" har bytt namn till "--with-json-c".
- Konfigureringsskriptet har inte längre som standard "--sysconfdir" i /etc och "--localstatedir" i /var om inte "--prefix" anges. Standardsökvägarna är nu $prefix/etc och $prefix/var, som används i Autoconf.
- Borttagen kod som implementerade DLV-tjänsten (Domain Look-aside Verification, dnssec-lookaside option), som fasades ut i BIND 9.12, och den associerade dlv.isc.org-hanteraren inaktiverades 2017. Att ta bort DLV:erna befriade BIND-koden från onödiga komplikationer.
Källa: opennet.ru