Các nhà phát triển máy chủ DNS BIND đã công bố bổ sung hỗ trợ máy chủ cho công nghệ DNS qua HTTPS (DoH, DNS qua HTTPS) và DNS qua TLS (DoT, DNS qua TLS), cũng như cơ chế XFR-over-TLS để bảo mật chuyển nội dung của vùng DNS giữa các máy chủ. DoH có sẵn để thử nghiệm trong bản phát hành 9.17 và hỗ trợ DoT đã có mặt kể từ bản phát hành 9.17.10. Sau khi ổn định, hỗ trợ DoT và DoH sẽ được chuyển sang nhánh 9.17.7 ổn định.
Việc triển khai giao thức HTTP/2 được sử dụng trong DoH dựa trên việc sử dụng thư viện nghttp2, được bao gồm trong số các phần phụ thuộc của hợp ngữ (trong tương lai, thư viện được lên kế hoạch chuyển sang số lượng phụ thuộc tùy chọn). Cả kết nối HTTP/2 được mã hóa (TLS) và không được mã hóa đều được hỗ trợ. Với cài đặt thích hợp, một quy trình được đặt tên giờ đây không chỉ có thể phục vụ các truy vấn DNS truyền thống mà còn cả các truy vấn được gửi bằng DoH (DNS-over-HTTPS) và DoT (DNS-over-TLS). Hỗ trợ HTTPS ở phía máy khách (đào) chưa được triển khai. Hỗ trợ XFR-over-TLS có sẵn cho cả yêu cầu gửi đến và gửi đi.
Việc xử lý yêu cầu bằng DoH và DoT được kích hoạt bằng cách thêm các tùy chọn http và tls vào lệnh lắng nghe. Để hỗ trợ DNS-over-HTTP không được mã hóa, bạn nên chỉ định “tls none” trong cài đặt. Các khóa được xác định trong phần "tls". Các cổng mạng mặc định 853 cho DoT, 443 cho DoH và 80 cho DNS-over-HTTP có thể bị ghi đè thông qua các tham số tls-port, https-port và http-port. Ví dụ: tls local-tls { key-file "/path/to/priv_key.pem"; tệp chứng chỉ "/path/to/cert_chain.pem"; }; http local-http-server { điểm cuối { "/dns-query"; }; }; tùy chọn {https-port 443; cổng nghe 443 tls local-tls http myserver {any;}; }
Trong số các tính năng của việc triển khai DoH trong BIND, tích hợp được coi là một phương thức vận chuyển chung, có thể được sử dụng không chỉ để xử lý các yêu cầu của khách hàng tới trình phân giải mà còn khi trao đổi dữ liệu giữa các máy chủ, khi chuyển vùng bằng máy chủ DNS có thẩm quyền và khi xử lý bất kỳ yêu cầu nào được hỗ trợ bởi các phương tiện truyền tải DNS khác.
Một tính năng khác là khả năng di chuyển các hoạt động mã hóa cho TLS sang một máy chủ khác, điều này có thể cần thiết trong điều kiện chứng chỉ TLS được lưu trữ trên một hệ thống khác (ví dụ: trong cơ sở hạ tầng có máy chủ web) và được duy trì bởi nhân viên khác. Hỗ trợ DNS-over-HTTP không được mã hóa được triển khai để đơn giản hóa việc gỡ lỗi và như một lớp để chuyển tiếp trong mạng nội bộ, trên cơ sở mã hóa có thể được tổ chức trên một máy chủ khác. Trên máy chủ từ xa, nginx có thể được sử dụng để tạo lưu lượng TLS, tương tự như cách tổ chức liên kết HTTPS cho các trang web.
Chúng ta hãy nhớ lại rằng DNS-over-HTTPS có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống lại chặn ở cấp độ DNS (DNS-over-HTTPS không thể thay thế VPN trong việc bỏ qua tính năng chặn được triển khai ở cấp độ dpi) hoặc để tổ chức công việc khi không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DNS-over-HTTPS, yêu cầu xác định địa chỉ IP máy chủ sẽ được gói gọn trong lưu lượng HTTPS và được gửi đến máy chủ HTTP, trong đó trình phân giải xử lý các yêu cầu thông qua API Web.
“DNS over TLS” khác với “DNS over HTTPS” ở việc sử dụng giao thức DNS tiêu chuẩn (cổng mạng 853 thường được sử dụng), được bao bọc trong một kênh liên lạc được mã hóa được tổ chức bằng giao thức TLS với tính năng kiểm tra tính hợp lệ của máy chủ thông qua chứng chỉ TLS/SSL được chứng nhận bởi cơ quan chứng nhận. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Nguồn: opennet.ru