Watengenezaji wa seva ya BIND DNS walitangaza kuongezwa kwa usaidizi wa seva kwa DNS kupitia HTTPS (DoH, DNS juu ya HTTPS) na DNS juu ya teknolojia za TLS (DoT, DNS juu ya TLS), pamoja na utaratibu wa XFR-over-TLS kwa usalama. kuhamisha yaliyomo ya kanda za DNS kati ya seva. DoH inapatikana kwa majaribio katika toleo la 9.17, na usaidizi wa DoT umekuwepo tangu toleo la 9.17.10. Baada ya uthabiti, usaidizi wa DoT na DoH utarejeshwa kwenye tawi thabiti la 9.17.7.
Utekelezaji wa itifaki ya HTTP/2 inayotumiwa katika DoH inategemea utumiaji wa maktaba ya nghttp2, ambayo imejumuishwa kati ya tegemezi za mkusanyiko (katika siku zijazo, maktaba imepangwa kuhamishiwa kwa idadi ya utegemezi wa hiari). Miunganisho yote miwili iliyosimbwa kwa njia fiche (TLS) na HTTP/2 ambayo haijasimbwa inatumika. Kwa mipangilio inayofaa, mchakato mmoja uliopewa jina sasa unaweza kutoa sio tu hoja za jadi za DNS, lakini pia hoja zinazotumwa kwa kutumia DoH (DNS-over-HTTPS) na DoT (DNS-over-TLS). Usaidizi wa HTTPS kwenye upande wa mteja (chimba) bado haujatekelezwa. Usaidizi wa XFR-over-TLS unapatikana kwa maombi ya ndani na nje.
Ombi la kuchakata kwa kutumia DoH na DoT limewezeshwa kwa kuongeza chaguzi za http na tls kwenye maagizo ya kusikiliza. Ili kutumia DNS-over-HTTP ambayo haijasimbwa, unapaswa kubainisha "tls none" katika mipangilio. Vifunguo vimefafanuliwa katika sehemu ya "tls". Lango chaguomsingi za mtandao 853 za DoT, 443 za DoH na 80 za DNS-over-HTTP zinaweza kubatilishwa kupitia tls-port, https-port na vigezo vya http-port. Kwa mfano: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints {"/dns-query"; }; }; chaguzi { https-bandari 443; listen-on port 443 tls local-tls http myserver {yoyote;}; }
Miongoni mwa vipengele vya utekelezaji wa DoH katika BIND, ushirikiano hujulikana kama usafiri wa jumla, ambao unaweza kutumika sio tu kushughulikia maombi ya mteja kwa mtatuzi, lakini pia wakati wa kubadilishana data kati ya seva, wakati wa kuhamisha maeneo na seva ya DNS iliyoidhinishwa, na wakati wa kuchakata maombi yoyote yanayoungwa mkono na usafirishaji mwingine wa DNS .
Kipengele kingine ni uwezo wa kuhamisha shughuli za usimbaji fiche za TLS hadi kwenye seva nyingine, ambayo inaweza kuwa muhimu katika hali ambapo vyeti vya TLS vinahifadhiwa kwenye mfumo mwingine (kwa mfano, katika miundombinu yenye seva za wavuti) na kudumishwa na wafanyakazi wengine. Usaidizi wa DNS-over-HTTP ambayo haijasimbwa hutekelezwa ili kurahisisha utatuzi na kama safu ya usambazaji katika mtandao wa ndani, kwa msingi ambao usimbaji fiche unaweza kupangwa kwenye seva nyingine. Kwenye seva ya mbali, nginx inaweza kutumika kutengeneza trafiki ya TLS, sawa na jinsi ufungaji wa HTTPS unavyopangwa kwa tovuti.
Tukumbuke kwamba DNS-over-HTTPS inaweza kuwa na manufaa kwa kuzuia uvujaji wa taarifa kuhusu majina ya seva pangishi yaliyoombwa kupitia seva za DNS za watoa huduma, kupambana na mashambulizi ya MITM na uharibifu wa trafiki wa DNS (kwa mfano, wakati wa kuunganisha kwenye Wi-Fi ya umma), kukabiliana. kuzuia kwa kiwango cha DNS (DNS-over-HTTPS haiwezi kuchukua nafasi ya VPN katika kuzuia kuzuia kutekelezwa katika kiwango cha DPI) au kwa ajili ya kupanga kazi wakati haiwezekani kufikia seva za DNS moja kwa moja (kwa mfano, wakati wa kufanya kazi kupitia proksi). Ikiwa katika hali ya kawaida maombi ya DNS yanatumwa moja kwa moja kwa seva za DNS zilizofafanuliwa katika usanidi wa mfumo, basi katika kesi ya DNS-over-HTTPS ombi la kuamua anwani ya IP ya mwenyeji imefungwa kwenye trafiki ya HTTPS na kutumwa kwa seva ya HTTP, ambapo msuluhishi huchakata maombi kupitia API ya Wavuti.
"DNS juu ya TLS" inatofautiana na "DNS juu ya HTTPS" katika utumiaji wa itifaki ya kawaida ya DNS (mlango wa mtandao wa 853 kawaida hutumiwa), iliyofungwa katika njia iliyosimbwa ya mawasiliano iliyopangwa kwa kutumia itifaki ya TLS na ukaguzi wa uhalali wa mwenyeji kupitia vyeti vya TLS/SSL vilivyoidhinishwa. na mamlaka ya uthibitisho. Kiwango kilichopo cha DNSSEC kinatumia usimbaji fiche ili tu kuthibitisha mteja na seva, lakini hailindi trafiki dhidi ya kuingiliwa na haihakikishi usiri wa maombi.
Chanzo: opennet.ru