Таҳиягарони сервери BIND DNS илова кардани дастгирии серверро барои технологияҳои DNS тавассути HTTPS (DoH, DNS бар HTTPS) ва DNS бар TLS (DoT, DNS бар TLS) ва инчунин механизми XFR-over-TLS барои бехатар эълон карданд. интиқоли мундариҷаи минтақаҳои DNS байни серверҳо. DoH барои санҷиш дар нашри 9.17 дастрас аст ва дастгирии DoT аз замони нашри 9.17.10 мавҷуд аст. Пас аз мӯътадилшавӣ, дастгирии DoT ва DoH ба шохаи устувори 9.17.7 интиқол дода мешавад.
Татбиқи протоколи HTTP/2, ки дар DoH истифода мешавад, ба истифодаи китобхонаи nghttp2 асос ёфтааст, ки ба қатори вобастагии ассамблея дохил карда шудааст (дар оянда китобхона ба шумораи вобастагии ихтиёрӣ интиқол дода мешавад). Ҳам пайвастҳои рамзгузоришуда (TLS) ва ҳам рамзнашуда HTTP/2 дастгирӣ карда мешаванд. Бо танзимоти мувофиқ, раванди ягонаи номбаршуда акнун метавонад на танҳо дархостҳои анъанавии DNS, балки ба дархостҳое, ки бо истифода аз DoH (DNS-over-HTTPS) ва DoT (DNS-over-TLS) фиристода мешаванд, хидмат кунад. Дастгирии HTTPS дар паҳлӯи муштарӣ (кофтан) ҳанӯз амалӣ нашудааст. Дастгирии XFR-over-TLS ҳам барои дархостҳои воридотӣ ва ҳам содиротӣ дастрас аст.
Коркарди дархостҳо бо истифода аз DoH ва DoT тавассути илова кардани имконоти http ва tls ба дастури гӯш кардан фаъол карда мешавад. Барои дастгирии DNS-over-HTTP рамзнашуда, шумо бояд дар танзимот "tls none" -ро муайян кунед. Калидҳо дар бахши "tls" муайян карда шудаанд. Бандарҳои шабакавии пешфарз 853 барои DoT, 443 барои DoH ва 80 барои DNS-over-HTTP метавонанд тавассути параметрҳои tls-port, https-port ва http-порт барҳам дода шаванд. Масалан: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; имконоти {https-порти 443; порти гӯш 443 tls local-tls http myserver {ягон;}; }
Дар байни хусусиятҳои татбиқи DoH дар BIND, ҳамгироӣ ҳамчун як нақлиёти умумӣ қайд карда мешавад, ки он метавонад на танҳо барои коркарди дархостҳои муштарӣ ба ҳалкунанда, балки ҳангоми мубодилаи маълумот байни серверҳо, ҳангоми интиқоли минтақаҳо аз ҷониби сервери бонуфузи DNS истифода шавад ва ҳангоми коркарди ҳама гуна дархостҳое, ки аз ҷониби дигар интиқолҳои DNS дастгирӣ мешаванд.
Хусусияти дигар ин қобилияти интиқол додани амалиёти рамзгузорӣ барои TLS ба сервери дигар мебошад, ки он метавонад дар шароите зарур бошад, ки сертификатҳои TLS дар системаи дигар нигоҳ дошта мешаванд (масалан, дар инфрасохтор бо серверҳои веб) ва аз ҷониби кормандони дигар нигоҳ дошта мешаванд. Дастгирии DNS-over-HTTP-и рамзнашуда барои содда кардани хатогиҳо ва ҳамчун қабат барои интиқол дар шабакаи дохилӣ амалӣ карда мешавад, ки дар асоси он рамзгузорӣ дар сервери дигар ташкил карда мешавад. Дар сервери дурдаст, nginx-ро барои тавлиди трафики TLS истифода бурдан мумкин аст, ба монанди он, ки пайвасти HTTPS барои вебсайтҳо чӣ гуна ташкил карда мешавад.
Ёдовар мешавем, ки DNS-over-HTTPS метавонад барои пешгирии ихроҷи маълумот дар бораи номҳои хостҳои дархостшуда тавассути серверҳои DNS-и провайдерҳо, мубориза бар зидди ҳамлаҳои MITM ва қаллобии трафики DNS (масалан, ҳангоми пайвастшавӣ ба Wi-Fi ҷамъиятӣ), муқовимат муфид бошад. басташавӣ дар сатҳи DNS (DNS-over-HTTPS наметавонад VPN-ро дар гузаштан бастани дар сатҳи DPI иҷрошуда иваз кунад) ё барои ташкили кор, вақте ки дастрасии мустақим ба серверҳои DNS ғайриимкон аст (масалан, ҳангоми кор тавассути прокси). Агар дар ҳолати муқаррарӣ дархостҳои DNS мустақиман ба серверҳои DNS, ки дар конфигуратсияи система муайян шудаанд, фиристода шаванд, пас дар ҳолати DNS-over-HTTPS дархост барои муайян кардани суроғаи IP-и мизбон дар трафики HTTPS фаро гирифта мешавад ва ба сервери HTTP фиристода мешавад. ҳалкунанда дархостҳоро тавассути Web API коркард мекунад.
"DNS бар TLS" аз "DNS бар HTTPS" дар истифодаи протоколи стандартии DNS (порти шабакавӣ 853 одатан истифода мешавад) фарқ мекунад, ки дар канали иртиботи рамзгузоришуда бо истифода аз протоколи TLS ташкил карда шудааст ва санҷиши эътибори мизбон тавассути сертификатҳои TLS/SSL тасдиқ карда шудааст. аз ҷониби мақомоти сертификатсия. Стандарти мавҷудаи DNSSEC рамзгузориро танҳо барои тасдиқи аутентификатсияи муштарӣ ва сервер истифода мебарад, аммо трафикро аз боздошт муҳофизат намекунад ва махфияти дархостҳоро кафолат намедиҳад.
Манбаъ: opennet.ru