经过11个月的开发,ISC联盟 BIND 9.16 DNS 服务器新重要分支的第一个稳定版本。 作为延长支持周期的一部分,对分支 9.16 的支持将提供三年,直至 2 年第二季度。 之前的 LTS 分支 2023 的更新将持续发布到 9.11 年 2021 月。 对分支 9.14 的支持将在三个月后结束。
主 :
- 添加了 KASP(密钥和签名策略),这是一种管理 DNSSEC 密钥和数字签名的简化方法,基于使用“dnssec-policy”指令定义的设置规则。 该指令允许您配置 DNS 区域所需的新密钥的生成以及 ZSK 和 KSK 密钥的自动应用。
- 网络子系统进行了重大重新设计,并切换为基于该库实现的异步请求处理机制 .
返工尚未带来任何明显的变化,但在未来的版本中,它将提供实施一些重大性能优化并添加对新协议(例如基于 TLS 的 DNS)的支持的机会。 - 改进了管理 DNSSEC 信任锚的流程(信任锚,与区域绑定的公钥,用于验证该区域的真实性)。 已提议使用新的 trust-anchors 指令来管理这两种类型的密钥,而不是现已弃用的受信任密钥和托管密钥设置。
当使用带有初始密钥关键字的信任锚时,该指令的行为与托管密钥相同,即根据 RFC 5011 定义信任锚设置。当使用带有 static-key 关键字的 trust-anchors 时,行为对应于 trust-keys 指令,即定义一个不会自动更新的持久密钥。 Trust-anchors 还提供了另外两个关键字,initial-ds 和 static-ds,它们允许您以以下格式使用信任锚 (委托签名者)而不是 DNSKEY,这使得为尚未发布的密钥配置绑定成为可能(IANA 组织计划将来对核心区域密钥使用 DS 格式)。
- “+yaml”选项已添加到 dig、mdig 和 delv 实用程序中,用于以 YAML 格式输出。
- “+[no]unexpected”选项已添加到 dig 实用程序中,允许接收来自请求发送到的服务器以外的主机的响应。
- 向 dig 实用程序添加了“+[no]expandaaaa”选项,这会导致 AAAA 记录中的 IPv6 地址以完整的 128 位表示形式显示,而不是以 RFC 5952 格式显示。
- 增加了切换统计通道组的功能。
- DS 和 CDS 记录现在仅基于 SHA-256 哈希生成(基于 SHA-1 的生成已停止)。
- 对于 DNS Cookie (RFC 7873),默认算法是 SipHash 2-4,并且已停止对 HMAC-SHA 的支持(保留 AES)。
- dnssec-signzone 和 dnssec-verify 命令的输出现在发送到标准输出 (STDOUT),并且仅将错误和警告打印到 STDERR(-f 选项还打印签名区域)。 添加了“-q”选项以使输出静音。
- DNSSEC 验证代码已被重新设计,以消除与其他子系统的代码重复。
- 要以 JSON 格式显示统计信息,现在只能使用 JSON-C 库。 配置选项“--with-libjson”已重命名为“--with-json-c”。
- 配置脚本不再默认为 /etc 中的“--sysconfdir”和 /var 中的“--localstatedir”,除非指定了“--prefix”。 默认路径现在是 $prefix/etc 和 $prefix/var,如 Autoconf 中使用的那样。
- 删除了实现 DLV(域旁视验证、dnssec-lookaside 选项)服务的代码,该服务在 BIND 9.12 中已弃用,并且相关的 dlv.isc.org 处理程序已于 2017 年禁用。 删除 DLV 使 BIND 代码免于不必要的复杂化。
来源: opennet.ru