หลังจาก 11 เดือนของการพัฒนา ISC consortium การเปิดตัวที่เสถียรครั้งแรกของสาขาใหม่ที่สำคัญของเซิร์ฟเวอร์ BIND 9.16 DNS การสนับสนุนสำหรับสาขา 9.16 จะมีให้เป็นเวลาสามปีจนถึงไตรมาสที่ 2 ของปี 2023 ซึ่งเป็นส่วนหนึ่งของวงจรการสนับสนุนที่ขยายออกไป การอัปเดตสำหรับ LTS เวอร์ชันก่อนหน้า 9.11 จะยังคงเผยแพร่ต่อไปจนถึงเดือนธันวาคม 2021 การสนับสนุนสาขา 9.14 จะสิ้นสุดในอีกสามเดือน
หลัก :
- เพิ่ม KASP (นโยบายคีย์และการลงนาม) ซึ่งเป็นวิธีที่ง่ายขึ้นในการจัดการคีย์ DNSSEC และลายเซ็นดิจิทัล ตามกฎการตั้งค่าที่กำหนดโดยใช้คำสั่ง "dnssec-policy" คำสั่งนี้ช่วยให้คุณสามารถกำหนดค่าการสร้างคีย์ใหม่ที่จำเป็นสำหรับโซน DNS และการใช้คีย์ ZSK และ KSK โดยอัตโนมัติ
- ระบบย่อยเครือข่ายได้รับการออกแบบใหม่อย่างมีนัยสำคัญและเปลี่ยนไปใช้กลไกการประมวลผลคำขอแบบอะซิงโครนัสที่ปรับใช้ตามไลบรารี .
การปรับปรุงใหม่ยังไม่ส่งผลให้เกิดการเปลี่ยนแปลงใดๆ แต่ในรุ่นต่อๆ ไป การปรับปรุงใหม่จะให้โอกาสในการปรับใช้การเพิ่มประสิทธิภาพที่สำคัญบางประการ และเพิ่มการรองรับโปรโตคอลใหม่ เช่น DNS ผ่าน TLS - ปรับปรุงกระบวนการในการจัดการ DNSSEC trust Anchors (Trust Anchor ซึ่งเป็นคีย์สาธารณะที่เชื่อมโยงกับโซนเพื่อตรวจสอบความถูกต้องของโซนนี้) แทนที่จะใช้การตั้งค่าคีย์ที่เชื่อถือได้และคีย์ที่ได้รับการจัดการ ซึ่งขณะนี้เลิกใช้แล้ว ได้มีการเสนอคำสั่ง trust-anchors ใหม่ ซึ่งช่วยให้คุณสามารถจัดการคีย์ทั้งสองประเภทได้
เมื่อใช้ trust-anchors กับคีย์เวิร์ดคีย์เริ่มต้น ลักษณะการทำงานของคำสั่งนี้จะเหมือนกับคีย์ที่ได้รับการจัดการ กล่าวคือ กำหนดการตั้งค่าจุดยึดที่เชื่อถือได้ตาม RFC 5011 เมื่อใช้จุดยึดที่เชื่อถือได้กับคีย์เวิร์ดสแตติกคีย์ ลักษณะการทำงานจะสอดคล้องกับคำสั่ง trusted-keys เช่น กำหนดคีย์ถาวรที่ไม่ได้รับการอัพเดตโดยอัตโนมัติ Trust-anchors ยังมีคำสำคัญอีกสองคำ ได้แก่ Initial-ds และ static-ds ซึ่งอนุญาตให้คุณใช้ Trust Anchors ในรูปแบบ (ผู้ลงนามการมอบหมาย) แทน DNSKEY ซึ่งช่วยให้คุณกำหนดค่าการเชื่อมโยงสำหรับคีย์ที่ยังไม่ได้เผยแพร่ (IANA วางแผนที่จะใช้รูปแบบ DS สำหรับคีย์โซนหลักในอนาคต)
- เพิ่มตัวเลือก “+yaml” ให้กับยูทิลิตี้ dig, mdig และ delv สำหรับเอาต์พุตในรูปแบบ YAML
- มีการเพิ่มตัวเลือก “+[no]unexpected” ลงในยูทิลิตี้ dig ซึ่งช่วยให้สามารถรับการตอบกลับจากโฮสต์อื่นที่ไม่ใช่เซิร์ฟเวอร์ที่ส่งคำขอไป
- เพิ่มตัวเลือก "+[no]expandaaaa" ให้กับยูทิลิตี้ dig ซึ่งทำให้ที่อยู่ IPv6 ในบันทึก AAAA แสดงในรูปแบบ 128 บิตเต็มรูปแบบ แทนที่จะเป็นรูปแบบ RFC 5952
- เพิ่มความสามารถในการสลับกลุ่มช่องสถิติ
- ขณะนี้บันทึก DS และ CDS ถูกสร้างขึ้นตามแฮช SHA-256 เท่านั้น (การสร้างตาม SHA-1 ถูกยกเลิกแล้ว)
- สำหรับคุกกี้ DNS (RFC 7873) อัลกอริธึมเริ่มต้นคือ SipHash 2-4 และการสนับสนุน HMAC-SHA ถูกยกเลิกแล้ว (AES ยังคงอยู่)
- ขณะนี้เอาต์พุตของคำสั่ง dnssec-signzone และ dnssec-verify ถูกส่งไปยังเอาต์พุตมาตรฐาน (STDOUT) และเฉพาะข้อผิดพลาดและคำเตือนเท่านั้นที่จะพิมพ์ไปยัง STDERR (ตัวเลือก -f จะพิมพ์โซนที่เซ็นชื่อด้วย) เพิ่มตัวเลือก "-q" เพื่อปิดเสียงเอาต์พุต
- รหัสตรวจสอบ DNSSEC ได้รับการปรับปรุงใหม่เพื่อขจัดความซ้ำซ้อนของรหัสกับระบบย่อยอื่นๆ
- หากต้องการแสดงสถิติในรูปแบบ JSON ตอนนี้สามารถใช้ได้เฉพาะไลบรารี JSON-C เท่านั้น ตัวเลือกการกำหนดค่า "--with-libjson" ถูกเปลี่ยนชื่อเป็น "--with-json-c"
- สคริปต์กำหนดค่าไม่มีค่าเริ่มต้นเป็น "--sysconfdir" ใน /etc และ "--localstatedir" ใน /var อีกต่อไป เว้นแต่จะระบุ "--prefix" เส้นทางเริ่มต้นคือ $prefix/etc และ $prefix/var ที่ใช้ใน Autoconf
- ลบโค้ดที่ใช้บริการ DLV (Domain Look-aside Verification, dnssec-lookaside option) ซึ่งเลิกใช้แล้วใน BIND 9.12 และตัวจัดการ dlv.isc.org ที่เกี่ยวข้องถูกปิดใช้งานในปี 2017 การลบ DLV จะทำให้โค้ด BIND ปลอดจากความยุ่งยากที่ไม่จำเป็น
ที่มา: opennet.ru