經過11個月的開發,ISC聯盟
主要的
- 新增了 KASP(金鑰和簽章原則),這是管理 DNSSEC 金鑰和數位簽章的簡化方法,基於使用「dnssec-policy」指令定義的設定規則。 此指令可讓您配置 DNS 區域所需的新金鑰的產生以及 ZSK 和 KSK 金鑰的自動應用。
- 網路子系統進行了重大重新設計,並切換為基於該庫實現的非同步請求處理機制
庫夫 .
返工尚未帶來任何明顯的變化,但在未來的版本中,它將提供實現一些重大效能優化並添加對新協定(例如基於 TLS 的 DNS)的支援的機會。 - 改進了管理 DNSSEC 信任錨的流程(信任錨,與區域綁定的公鑰,用於驗證該區域的真實性)。 已提議使用新的 trust-anchors 指令來管理這兩種類型的金鑰,而不是現已棄用的受信任金鑰和託管金鑰設定。
當使用初始金鑰關鍵字的信任錨時,該指令的行為與託管金鑰相同,即根據 RFC 5011 定義信任錨設定。當使用帶有 static-key 關鍵字的 trust-anchors 時,行為對應於 trust-keys 指令,即定義不會自動更新的永久密鑰。 Trust-anchors 還提供了另外兩個關鍵字,initial-ds 和 static-ds,它們允許您以以下格式使用信任錨
DS (委託簽署者)而不是 DNSKEY,這使得尚未發布的金鑰配置綁定成為可能(IANA 組織計劃將來對核心區域金鑰使用 DS 格式)。 - 「+yaml」選項已新增至 dig、mdig 和 delv 公用程式中,用於以 YAML 格式輸出。
- 「+[no]unexpected」選項已新增至 dig 公用程式中,允許接收來自請求傳送到的伺服器以外的主機的回應。
- 在 dig 公用程式中新增了「+[no]expandaaaa」選項,這會導致 AAAA 記錄中的 IPv6 位址以完整的 128 位元表示形式顯示,而不是以 RFC 5952 格式顯示。
- 增加了切換統計通道組的功能。
- DS 和 CDS 記錄現在僅基於 SHA-256 雜湊產生(基於 SHA-1 的產生已停止)。
- 對於 DNS Cookie (RFC 7873),預設演算法是 SipHash 2-4,並且已停止對 HMAC-SHA 的支援(保留 AES)。
- dnssec-signzone 和 dnssec-verify 命令的輸出現在傳送到標準輸出 (STDOUT),並且僅將錯誤和警告列印到 STDERR(-f 選項也列印簽署區域)。 新增了“-q”選項以使輸出靜音。
- DNSSEC 驗證代碼已重新設計,以消除與其他子系統的程式碼重複。
- 要以 JSON 格式顯示統計訊息,現在只能使用 JSON-C 庫。 配置選項“--with-libjson”已重新命名為“--with-json-c”。
- 配置腳本不再預設為 /etc 中的“--sysconfdir”和 /var 中的“--localstatedir”,除非指定了“--prefix”。 預設路徑現在是 $prefix/etc 和 $prefix/var,如 Autoconf 中所使用的。
- 刪除了實作 DLV(網域旁視驗證、dnssec-lookaside 選項)服務的程式碼,該服務在 BIND 9.12 中已棄用,並且相關的 dlv.isc.org 處理程序已於 2017 年停用。 刪除 DLV 使 BIND 程式碼免於不必要的複雜化。
來源: opennet.ru