Sau 11 tháng phát triển, tập đoàn ISC bản phát hành ổn định đầu tiên của một nhánh quan trọng mới của máy chủ DNS BIND 9.16. Nhánh 9.16 sẽ được hỗ trợ trong ba năm cho đến quý 2 năm 2023 như một phần của chu kỳ bảo trì mở rộng. Các bản cập nhật cho nhánh 9.11 LTS trước đó sẽ tiếp tục được phát hành cho đến tháng 2021 năm 9.14. Hỗ trợ cho nhánh XNUMX sẽ kết thúc sau ba tháng.
Chính :
- Đã thêm KASP (Chính sách khóa và ký), một cách đơn giản để quản lý khóa DNSSEC và chữ ký số dựa trên các quy tắc cài đặt được xác định bằng lệnh "dnssec-policy". Lệnh này cho phép bạn định cấu hình việc tạo các khóa mới cần thiết cho các vùng DNS và tự động sử dụng các khóa ZSK và KSK.
- Hệ thống con mạng đã được thiết kế lại đáng kể, được chuyển sang cơ chế xử lý yêu cầu không đồng bộ được triển khai trên cơ sở thư viện .
Bản làm lại chưa thực hiện bất kỳ thay đổi rõ ràng nào, nhưng trong các bản phát hành trong tương lai, nó sẽ cung cấp một số tối ưu hóa hiệu suất đáng kể và thêm hỗ trợ cho các giao thức mới như DNS qua TLS. - Cải thiện quản lý DNSSEC (Neo tin cậy) đối với khóa chung của vùng để xác thực vùng. Thay vì cài đặt khóa tin cậy và khóa được quản lý hiện không được dùng nữa, một chỉ thị neo tin cậy mới đã được đề xuất để cho phép quản lý cả hai loại khóa.
Khi sử dụng các neo tin cậy với từ khóa khóa ban đầu, hành vi của lệnh này giống hệt với hành vi của khóa được quản lý, tức là. xác định cài đặt neo tin cậy theo RFC 5011. Khi sử dụng neo tin cậy với từ khóa khóa tĩnh, hành vi sẽ tuân theo chỉ thị khóa tin cậy; xác định một khóa vĩnh viễn không được cập nhật tự động. Trust-anchors cũng cung cấp thêm hai từ khóa, first-ds và static-ds , cho phép bạn sử dụng các neo tin cậy ở định dạng (Người ký ủy quyền) thay vì DNSKEY, cho phép bạn định cấu hình các liên kết cho các khóa chưa được xuất bản (trong tương lai, tổ chức IANA có kế hoạch sử dụng định dạng DS cho các khóa vùng lõi).
- Đã thêm tùy chọn "+yaml" cho các tiện ích dig, mdig và delv để xuất ra ở định dạng YAML.
- Đã thêm tùy chọn "+[no]unexpected" vào tiện ích dig để cho phép trả lời từ các máy chủ không phải máy chủ mà yêu cầu được gửi tới.
- Đã thêm tùy chọn "+[no]expandaaaa" để đào sâu nhằm hiển thị địa chỉ IPv6 trong bản ghi AAAA ở ký hiệu 128 bit đầy đủ thay vì định dạng RFC 5952.
- Đã thêm khả năng chuyển đổi nhóm kênh thống kê.
- Các bản ghi DS và CDS hiện chỉ được tạo dựa trên hàm băm SHA-256 (việc tạo dựa trên SHA-1 đã bị ngừng).
- Đối với Cookie DNS (RFC 7873), thuật toán SipHash 2-4 được bật theo mặc định và hỗ trợ HMAC-SHA đã bị loại bỏ (AES được giữ lại).
- Đầu ra của các lệnh dnssec-signzone và dnssec-verify hiện được gửi đến đầu ra tiêu chuẩn (STDOUT) và chỉ các lỗi và cảnh báo mới được in tới STDERR (vùng đã ký cũng được in nếu tùy chọn -f được chỉ định). Đã thêm tùy chọn "-q" để tắt tiếng đầu ra.
- Mã xác thực DNSSEC đã được thiết kế lại, không bị trùng lặp mã với các hệ thống con khác.
- Để hiển thị số liệu thống kê ở định dạng JSON, hiện chỉ có thể sử dụng thư viện JSON-C. Tùy chọn cấu hình "--with-libjson" đã được đổi tên thành "--with-json-c".
- Tập lệnh định cấu hình không còn mặc định là "--sysconfdir" trong /etc và "--localstatedir" thành /var, trừ khi "--prefix" được chỉ định. Các đường dẫn mặc định bây giờ là $prefix/etc và $prefix/var được Autoconf sử dụng.
- Đã xóa mã triển khai dịch vụ DLV (Xác minh xem xét tên miền, tùy chọn dnssec-lookaside), mã này không được dùng nữa trong BIND 9.12 và trình xử lý dlv.isc.org liên kết của nó đã bị vô hiệu hóa vào năm 2017. Việc loại bỏ DLV đã giải phóng mã BIND khỏi sự phức tạp không cần thiết.
Nguồn: opennet.ru