BIND DNS சேவையகத்தின் டெவலப்பர்கள் DNS மூலம் HTTPS (DoH, DNS மூலம் HTTPS) மற்றும் DNS மூலம் TLS (DoT, DNS over TLS) தொழில்நுட்பங்கள் மற்றும் XFR-ஓவர்-TLS பொறிமுறையை பாதுகாப்பதற்கான சேவையக ஆதரவைச் சேர்ப்பதாக அறிவித்தனர். சேவையகங்களுக்கு இடையில் DNS மண்டலங்களின் உள்ளடக்கங்களை மாற்றுகிறது. வெளியீடு 9.17 இல் சோதனைக்கு DoH கிடைக்கிறது, மேலும் DoT ஆதரவு 9.17.10 வெளியீட்டிலிருந்து உள்ளது. நிலைப்படுத்தப்பட்ட பிறகு, DoT மற்றும் DoH ஆதரவு நிலையான 9.17.7 கிளைக்கு பேக்போர்ட் செய்யப்படும்.
DoH இல் பயன்படுத்தப்படும் HTTP/2 நெறிமுறையை செயல்படுத்துவது nghttp2 நூலகத்தின் பயன்பாட்டை அடிப்படையாகக் கொண்டது, இது சட்டசபை சார்புகளில் சேர்க்கப்பட்டுள்ளது (எதிர்காலத்தில், நூலகம் விருப்ப சார்புகளின் எண்ணிக்கைக்கு மாற்ற திட்டமிடப்பட்டுள்ளது). மறைகுறியாக்கப்பட்ட (TLS) மற்றும் மறைகுறியாக்கப்பட்ட HTTP/2 இணைப்புகள் இரண்டும் ஆதரிக்கப்படுகின்றன. பொருத்தமான அமைப்புகளுடன், பெயரிடப்பட்ட ஒரு செயல்முறையானது இப்போது பாரம்பரிய DNS வினவல்களை மட்டுமின்றி, DoH (DNS-over-HTTPS) மற்றும் DoT (DNS-over-TLS) ஆகியவற்றைப் பயன்படுத்தி அனுப்பப்படும் வினவல்களையும் வழங்க முடியும். கிளையன்ட் பக்கத்தில் (dig) HTTPS ஆதரவு இன்னும் செயல்படுத்தப்படவில்லை. XFR-over-TLS ஆதரவு உள்வரும் மற்றும் வெளிச்செல்லும் கோரிக்கைகளுக்குக் கிடைக்கிறது.
DoH மற்றும் DoTஐப் பயன்படுத்தி கோரிக்கை செயலாக்கம், http மற்றும் tls விருப்பங்களை Listen-on கட்டளையில் சேர்ப்பதன் மூலம் இயக்கப்படுகிறது. மறைகுறியாக்கப்படாத DNS-over-HTTP ஐ ஆதரிக்க, நீங்கள் அமைப்புகளில் "tls எதுவும் இல்லை" என்பதைக் குறிப்பிட வேண்டும். விசைகள் "tls" பிரிவில் வரையறுக்கப்பட்டுள்ளன. tls-port, https-port மற்றும் http-port அளவுருக்கள் மூலம் DoTக்கான இயல்புநிலை நெட்வொர்க் போர்ட்கள் 853, DoHக்கு 443 மற்றும் DNS-over-HTTP க்கு 80 ஆகியவை மேலெழுதப்படலாம். எடுத்துக்காட்டாக: tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http உள்ளூர்-http-server { endpoints { "/dns-query"; }; }; விருப்பங்கள் { https-port 443; Listen-on port 443 tls local-tls http myserver {any;}; }
BIND இல் DoH செயலாக்கத்தின் அம்சங்களில், ஒருங்கிணைப்பு என்பது ஒரு பொதுவான போக்குவரமாகக் குறிப்பிடப்படுகிறது, இது கிளையன்ட் கோரிக்கைகளை தீர்வுகாட்டிக்கு செயலாக்குவது மட்டுமல்லாமல், சேவையகங்களுக்கு இடையில் தரவைப் பரிமாறிக் கொள்ளும்போது, அதிகாரப்பூர்வ DNS சேவையகத்தால் மண்டலங்களை மாற்றும் போது, மற்றும் பிற DNS ட்ரான்ஸ்போர்ட்களால் ஆதரிக்கப்படும் கோரிக்கைகளை செயலாக்கும் போது.
மற்றொரு அம்சம் TLS க்கான குறியாக்க செயல்பாடுகளை மற்றொரு சேவையகத்திற்கு நகர்த்தும் திறன் ஆகும், இது TLS சான்றிதழ்கள் மற்றொரு கணினியில் சேமிக்கப்படும் (உதாரணமாக, இணைய சேவையகங்கள் கொண்ட உள்கட்டமைப்பில்) மற்றும் பிற பணியாளர்களால் பராமரிக்கப்படும் சூழ்நிலைகளில் அவசியமாக இருக்கலாம். மறைகுறியாக்கப்படாத டிஎன்எஸ்-ஓவர்-எச்டிடிபிக்கான ஆதரவு பிழைத்திருத்தத்தை எளிதாக்கவும் மற்றும் உள் நெட்வொர்க்கில் பகிர்தலுக்கு ஒரு அடுக்காகவும் செயல்படுத்தப்படுகிறது, அதன் அடிப்படையில் மற்றொரு சேவையகத்தில் குறியாக்கத்தை ஒழுங்கமைக்க முடியும். ரிமோட் சர்வரில், இணையதளங்களுக்கு HTTPS பிணைப்பு எவ்வாறு ஒழுங்கமைக்கப்படுகிறது என்பதைப் போலவே, TLS ட்ராஃபிக்கை உருவாக்க nginxஐப் பயன்படுத்தலாம்.
வழங்குநர்களின் DNS சேவையகங்கள் மூலம் கோரப்பட்ட ஹோஸ்ட் பெயர்கள் பற்றிய தகவல் கசிவைத் தடுக்கவும், MITM தாக்குதல்கள் மற்றும் DNS டிராஃபிக் ஸ்பூஃபிங்கை எதிர்த்துப் போராடவும் (எடுத்துக்காட்டாக, பொது வைஃபையுடன் இணைக்கும்போது), எதிர்கொள்வதற்கு DNS-over-HTTPS பயனுள்ளதாக இருக்கும் என்பதை நினைவில் கொள்வோம். டிஎன்எஸ் மட்டத்தில் தடுப்பது (டிபிஐ மட்டத்தில் செயல்படுத்தப்படும் தடுப்பைத் தவிர்ப்பதில் டிஎன்எஸ்-ஓவர்-எச்டிடிபிஎஸ் VPN ஐ மாற்ற முடியாது) அல்லது டிஎன்எஸ் சேவையகங்களை நேரடியாக அணுக முடியாதபோது (உதாரணமாக, ப்ராக்ஸி மூலம் பணிபுரியும் போது) வேலைகளை ஒழுங்கமைத்தல். ஒரு சாதாரண சூழ்நிலையில் DNS கோரிக்கைகள் கணினி கட்டமைப்பில் வரையறுக்கப்பட்ட DNS சேவையகங்களுக்கு நேரடியாக அனுப்பப்பட்டால், DNS-over-HTTPS விஷயத்தில் ஹோஸ்ட் ஐபி முகவரியைக் கண்டறியும் கோரிக்கை HTTPS டிராஃபிக்கில் இணைக்கப்பட்டு HTTP சேவையகத்திற்கு அனுப்பப்படும். வலை API வழியாக கோரிக்கைகளை தீர்த்து வைக்கிறது.
TLS/SSL சான்றிதழ்கள் சான்றளிக்கப்பட்ட ஹோஸ்ட் செல்லுபடியாக்கத்துடன் TLS நெறிமுறையைப் பயன்படுத்தி ஒழுங்கமைக்கப்பட்ட மறைகுறியாக்கப்பட்ட தகவல்தொடர்பு சேனலில் மூடப்பட்ட நிலையான DNS நெறிமுறையின் பயன்பாட்டில் "DNS ஓவர் TLS" என்பது "HTTPS வழியாக DNS" இலிருந்து வேறுபடுகிறது. ஒரு சான்றிதழ் அதிகாரத்தால். தற்போதுள்ள DNSSEC தரநிலையானது கிளையன்ட் மற்றும் சர்வரை அங்கீகரிக்க மட்டுமே குறியாக்கத்தைப் பயன்படுத்துகிறது, ஆனால் குறுக்கீடுகளிலிருந்து போக்குவரத்தைப் பாதுகாக்காது மற்றும் கோரிக்கைகளின் ரகசியத்தன்மைக்கு உத்தரவாதம் அளிக்காது.
ஆதாரம்: opennet.ru