BIND DNS serverini ishlab chiquvchilar HTTPS orqali DNS (DoH, HTTPS orqali DNS) va TLS orqali DNS (DoT, TLS orqali DNS) texnologiyalari uchun server qo'llab-quvvatlashi, shuningdek xavfsiz XFR-over-TLS mexanizmi qo'shilganligini e'lon qildi. serverlar o'rtasida DNS zonalari tarkibini uzatish. DoH 9.17 versiyasida sinovdan o'tkazilishi mumkin va DoT qo'llab-quvvatlashi 9.17.10 versiyasidan beri mavjud. Stabillashtirgandan so'ng, DoT va DoH qo'llab-quvvatlashi barqaror 9.17.7 filialiga qaytariladi.
DoHda qo'llaniladigan HTTP/2 protokolini amalga oshirish montaj bog'liqliklari qatoriga kiritilgan nghttp2 kutubxonasidan foydalanishga asoslangan (kelajakda kutubxonani ixtiyoriy bog'liqliklar soniga o'tkazish rejalashtirilgan). Shifrlangan (TLS) va shifrlanmagan HTTP/2 ulanishlari qo'llab-quvvatlanadi. Tegishli sozlamalar bilan bitta nomli jarayon endi nafaqat an'anaviy DNS so'rovlariga, balki DoH (DNS-over-HTTPS) va DoT (DNS-over-TLS) yordamida yuborilgan so'rovlarga ham xizmat qilishi mumkin. Mijoz tomonida HTTPS qo'llab-quvvatlashi (dig) hali amalga oshirilmagan. XFR-over-TLS-ni qo'llab-quvvatlash ham kiruvchi, ham chiquvchi so'rovlar uchun mavjud.
DoH va DoT yordamida so'rovni qayta ishlash http va tls opsiyalarini tinglash direktivasiga qo'shish orqali yoqiladi. Shifrlanmagan DNS-over-HTTP-ni qo'llab-quvvatlash uchun sozlamalarda "tls none" ni belgilashingiz kerak. Kalitlar "tls" bo'limida aniqlanadi. Standart tarmoq portlari DoT uchun 853, DoH uchun 443 va DNS-over-HTTP uchun 80 tls-port, https-port va http-port parametrlari orqali bekor qilinishi mumkin. Masalan: tls local-tls { key-fayl "/path/to/priv_key.pem"; sertifikat fayli "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; variantlar { https-port 443; tinglash porti 443 tls local-tls http myserver {har qanday;}; }
BIND-da DoH-ni amalga oshirishning xususiyatlari orasida integratsiya umumiy transport sifatida qayd etilgan bo'lib, u nafaqat hal qiluvchiga mijoz so'rovlarini qayta ishlash uchun, balki serverlar o'rtasida ma'lumot almashishda, nufuzli DNS serveri tomonidan zonalarni uzatishda va boshqa DNS transportlari tomonidan qo'llab-quvvatlanadigan har qanday so'rovlarni qayta ishlashda.
Yana bir xususiyat - TLS sertifikatlari boshqa tizimda (masalan, veb-serverlari bo'lgan infratuzilmada) saqlanadigan va boshqa xodimlar tomonidan qo'llab-quvvatlanadigan sharoitlarda zarur bo'lishi mumkin bo'lgan boshqa serverga TLS uchun shifrlash operatsiyalarini o'tkazish imkoniyati. Shifrlanmagan DNS-over-HTTP-ni qo'llab-quvvatlash nosozliklarni tuzatishni soddalashtirish va ichki tarmoqda yo'naltirish qatlami sifatida amalga oshiriladi, buning asosida shifrlashni boshqa serverda tashkil qilish mumkin. Masofaviy serverda nginx-dan veb-saytlar uchun HTTPS ulanishi qanday tashkil qilinganiga o'xshab, TLS trafigini yaratish uchun foydalanish mumkin.
Eslatib o'tamiz, DNS-over-HTTPS so'ralgan xost nomlari haqidagi ma'lumotlarning provayderlarning DNS serverlari orqali sizib chiqishining oldini olish, MITM hujumlari va DNS trafigini buzish (masalan, umumiy Wi-Fi tarmog'iga ulanishda) bilan kurashish, ularga qarshi kurashish uchun foydali bo'lishi mumkin. DNS darajasida bloklash (HTTPS orqali DNS DPI darajasida amalga oshirilgan bloklashni chetlab o'tishda VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmaganda ishni tashkil qilish uchun (masalan, proksi-server orqali ishlashda). Agar oddiy holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DNS-over-HTTPS bo'lsa, host IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi. hal qiluvchi so'rovlarni Web API orqali qayta ishlaydi.
βTLS orqali DNSβ standart DNS protokolidan foydalanishda (odatda tarmoq porti 853 ishlatiladi), TLS/SSL sertifikatlari orqali xostning haqiqiyligini tekshirish bilan TLS protokoli yordamida tashkil etilgan shifrlangan aloqa kanaliga oΚ»ralgan holda βHTTPS orqali DNSβdan farq qiladi. sertifikatlashtirish organi tomonidan. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Manba: opennet.ru