Після 11 місяців розробки консорціум ISC перший стабільний реліз нової значної галузі DNS-сервера BIND 9.16. Підтримка гілки 9.16 буде здійснюватись протягом трьох років до 2 кварталу 2023 року в рамках розширеного циклу супроводу. Оновлення для минулої LTS-гілки 9.11 продовжать випускатися до грудня 2021 року. Підтримка гілки 9.14 припиниться за три місяці.
Основні :
- Доданий KASP (Key and Signing Policy), спрощений спосіб управління ключами та цифровими підписами DNSSEC, заснований на завданні правил, визначених директивою «dnssec-policy». Ця директива дозволяє настроїти генерацію для DNS-зон необхідних нових ключів та автоматичне застосування ключів ZSK та KSK.
- Істотно перероблено мережну підсистему, яка переведена на механізм асинхронної обробки запитів, реалізований на основі бібліотеки .
Переробка поки що не призвела до видимих змін, але в подальших випусках вона дасть можливість реалізувати деякі суттєві оптимізації продуктивності та додати підтримку нових протоколів, таких як DNS over TLS. - Покращено процес керування довірчими прив'язками DNSSEC (Trust anchor, прив'язаний до зони відкритий ключ для автентифікації цієї зони). Замість налаштувань trusted-keys та managed-keys, які тепер оголошені застарілими, запропоновано нову директиву trust-anchors, що дозволяє керувати обома типами ключів.
З використанням trust-anchors з ключовим словом initial-key, поведінка цієї директиви ідентично managed-keys, тобто. визначає налаштування довірчої прив'язки відповідно до RFC 5011. При використанні trust-anchors з ключовим словом static-key, поведінка відповідає директиві trusted-keys, тобто. визначає постійний ключ, який автоматично не оновлюється. Також у trust-anchors пропонуються ще два ключові слова initial-ds та static-ds, що дозволяють використовувати довірчі прив'язки у форматі (Delegation Signer) замість DNSKEY, який дає можливість налаштування прив'язок для ключів, що ще не опубліковані (у майбутньому організація IANA планує використовувати формат DS для ключів коревих зон).
- Утиліти dig, mdig і delv додана опція «+yaml» для виведення у форматі YAML.
- В утиліту dig додано опцію «+[no]unexpected», що дозволяє прийом відповідей від хостів, що відрізняються від сервера, якому було надіслано запит.
- В утиліту dig додано опцію "+[no]expandaaaa", при вказівці якої IPv6-адреси в записах AAAA показуються в повному 128-бітному поданні, а не у форматі RFC 5952.
- Додано можливість перемикання груп каналів статистики.
- Записи DS та CDS тепер генеруються тільки на базі хешів SHA-256 (генерація на базі SHA-1 припинена).
- Для DNS Cookie (RFC 7873) за замовчуванням задіяно алгоритм SipHash 2-4, а підтримка HMAC-SHA припинена (AES залишено).
- Виведення команд dnssec-signzone і dnssec-verify тепер направляється у стандартний вихідний потік (STDOUT), а в STDERR виводяться лише відомості про помилки та попередження (при вказівці опції -f також виводиться підписана зона). Для приглушення виводу додано опцію "-q".
- Перероблено код валідації DNSSEC, який позбавлений дублювання коду з іншими підсистемами.
- Для виведення статистики у форматі JSON тепер можна використовувати лише бібліотеку JSON-C. Опція configure "-with-libjson" перейменована в "-with-json-c".
- У скрипті configure більше не виставляється за замовчуванням параметр "sysconfdir" в / etc, а "localstatedir" в / var, якщо не вказаний параметр "prefix". За замовчуванням тепер використовуються шляхи $prefix/etc і $prefix/var, які застосовуються у Autoconf.
- Видалено код з реалізацією сервісу DLV (Domain Look-aside Verification, опція dnssec-lookaside), який було оголошено застарілим у BIND 9.12, а пов'язаний з ним обробник dlv.isc.org було вимкнено у 2017 році. Видалення DLV дозволило позбавити код BIND зайвих ускладнень.
Джерело: opennet.ru