11 ماہ کی ترقی کے بعد، ISC کنسورشیم BIND 9.16 DNS سرور کی ایک نئی اہم شاخ کی پہلی مستحکم ریلیز۔ برانچ 9.16 کے لیے سپورٹ ایک توسیعی سپورٹ سائیکل کے حصے کے طور پر 2 کی دوسری سہ ماہی تک تین سال کے لیے فراہم کی جائے گی۔ پچھلی LTS برانچ 2023 کے لیے اپ ڈیٹس دسمبر 9.11 تک جاری رہیں گے۔ برانچ 2021 کے لیے سپورٹ تین ماہ میں ختم ہو جائے گی۔
اہم :
- KASP (Key and Signing Policy) کو شامل کیا گیا، DNSSEC کلیدوں اور ڈیجیٹل دستخطوں کو منظم کرنے کا ایک آسان طریقہ، "dnssec-پالیسی" کی ہدایت کا استعمال کرتے ہوئے بیان کردہ اصولوں کی ترتیب کی بنیاد پر۔ یہ ہدایت آپ کو DNS زونز کے لیے ضروری نئی کلیدوں کی تخلیق اور ZSK اور KSK کیز کے خودکار اطلاق کو ترتیب دینے کی اجازت دیتی ہے۔
- نیٹ ورک سب سسٹم کو نمایاں طور پر دوبارہ ڈیزائن کیا گیا ہے اور لائبریری کی بنیاد پر لاگو ایک غیر مطابقت پذیر درخواست پراسیسنگ میکانزم میں تبدیل کیا گیا ہے۔ .
دوبارہ کام کے نتیجے میں ابھی تک کوئی واضح تبدیلی نہیں آئی ہے، لیکن مستقبل کی ریلیزز میں یہ کچھ اہم کارکردگی کی اصلاح کو لاگو کرنے اور نئے پروٹوکولز جیسے DNS پر TLS کے لیے تعاون شامل کرنے کا موقع فراہم کرے گا۔ - DNSSEC ٹرسٹ اینکرز کے انتظام کے لیے بہتر عمل (ٹرسٹ اینکر، اس زون کی صداقت کی تصدیق کے لیے ایک زون سے منسلک ایک عوامی کلید)۔ ٹرسٹڈ کیز اور مینیجڈ کیز کی سیٹنگز کے بجائے، جو کہ اب فرسودہ ہو چکی ہیں، ایک نئی ٹرسٹ اینکرز ڈائریکٹیو تجویز کی گئی ہے جو آپ کو دونوں قسم کی کلیدوں کا نظم کرنے کی اجازت دیتی ہے۔
ابتدائی کلیدی کلیدی لفظ کے ساتھ ٹرسٹ-اینکرز کا استعمال کرتے وقت، اس ہدایت کا برتاؤ مینیجڈ کیز جیسا ہوتا ہے، یعنی RFC 5011 کے مطابق ٹرسٹ اینکر سیٹنگ کی وضاحت کرتا ہے۔ جب static-key کلیدی لفظ کے ساتھ ٹرسٹ-اینکر استعمال کرتے ہیں، تو برتاؤ ٹرسٹڈ-کیز کی ہدایت سے مطابقت رکھتا ہے، یعنی ایک مستقل کلید کی وضاحت کرتا ہے جو خود بخود اپ ڈیٹ نہیں ہوتی ہے۔ ٹرسٹ اینکرز دو مزید کلیدی الفاظ بھی پیش کرتے ہیں، ابتدائی-ds اور static-ds، جو آپ کو فارمیٹ میں ٹرسٹ اینکرز استعمال کرنے کی اجازت دیتے ہیں۔ (ڈیلیگیشن دستخط کنندہ) DNSKEY کے بجائے، جو ان کلیدوں کے لیے بائنڈنگز کو ترتیب دینا ممکن بناتا ہے جو ابھی تک شائع نہیں ہوئی ہیں (IANA تنظیم مستقبل میں کور زون کیز کے لیے DS فارمیٹ استعمال کرنے کا ارادہ رکھتی ہے)۔
- YAML فارمیٹ میں آؤٹ پٹ کے لیے "+yaml" آپشن کو dig، mdig اور delv یوٹیلیٹیز میں شامل کیا گیا ہے۔
- ڈی آئی جی یوٹیلیٹی میں "+[کوئی] غیر متوقع" آپشن شامل کر دیا گیا ہے، جس سے سرور کے علاوہ دوسرے میزبانوں کے جوابات موصول ہو سکتے ہیں جس پر درخواست بھیجی گئی تھی۔
- یوٹیلیٹی کو کھودنے کے لیے "+[no]expandaaaa" آپشن شامل کیا گیا، جس کی وجہ سے AAAA ریکارڈز میں IPv6 ایڈریسز RFC 128 فارمیٹ کے بجائے مکمل 5952 بٹ نمائندگی میں دکھائے جاتے ہیں۔
- شماریاتی چینلز کے گروپس کو سوئچ کرنے کی صلاحیت شامل کی گئی۔
- DS اور CDS ریکارڈز اب صرف SHA-256 ہیشز کی بنیاد پر بنائے جاتے ہیں (SHA-1 پر مبنی جنریشن بند کر دی گئی ہے)۔
- DNS کوکی (RFC 7873) کے لیے، پہلے سے طے شدہ الگورتھم SipHash 2-4 ہے، اور HMAC-SHA کے لیے سپورٹ بند کر دیا گیا ہے (AES برقرار ہے)۔
- dnssec-signzone اور dnssec-verify کمانڈز کا آؤٹ پٹ اب معیاری آؤٹ پٹ (STDOUT) پر بھیجا جاتا ہے، اور STDERR پر صرف غلطیاں اور وارننگز پرنٹ کی جاتی ہیں (-f آپشن دستخط شدہ زون کو بھی پرنٹ کرتا ہے)۔ آؤٹ پٹ کو خاموش کرنے کے لیے "-q" آپشن شامل کر دیا گیا ہے۔
- DNSSEC توثیق کوڈ کو دوسرے سب سسٹمز کے ساتھ کوڈ کی نقل کو ختم کرنے کے لیے دوبارہ کام کیا گیا ہے۔
- JSON فارمیٹ میں اعداد و شمار ظاہر کرنے کے لیے، اب صرف JSON-C لائبریری استعمال کی جا سکتی ہے۔ کنفیگر آپشن "-with-libjson" کا نام بدل کر "-with-json-c" کر دیا گیا ہے۔
- کنفیگر اسکرپٹ اب /etc میں "--sysconfdir" اور /var میں "--localstatedir" سے پہلے سے طے شدہ نہیں ہے جب تک کہ "--prefix" کی وضاحت نہ کی جائے۔ پہلے سے طے شدہ راستے اب $prefix/etc اور $prefix/var ہیں، جیسا کہ Autoconf میں استعمال ہوتا ہے۔
- DLV (Domain Look-side Verification، dnssec-lookaside آپشن) سروس کو نافذ کرنے والے کوڈ کو ہٹا دیا گیا، جسے BIND 9.12 میں فرسودہ کر دیا گیا تھا، اور متعلقہ dlv.isc.org ہینڈلر کو 2017 میں غیر فعال کر دیا گیا تھا۔ DLVs کو ہٹانے سے BIND کوڈ غیر ضروری پیچیدگیوں سے آزاد ہو گیا۔
ماخذ: opennet.ru