Выпуск DNS-сервера BIND 9.16.0
20 февраля 2020 года
После 11 месяцев разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.16. Поддержка ветки 9.16 будет осуществляться в течение трёх лет до 2 квартала 2023 года в рамках расширенного цикла сопровождения. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.14 прекратится через три месяца.
Основные новшества:
- Добавлен KASP (Key and Signing Policy), упрощённый способ управления ключами и цифровыми подписями DNSSEC, основанный на задании правил, определённых при помощи директивы "dnssec-policy". Данная директива позволяет настроить генерацию для DNS-зон необходимых новых ключей и автоматическое применение ключей ZSK и KSK.
- Существенно переработана сетевая подсистема, которая переведена на механизм асинхронной обработки запросов, реализованный на основе библиотеки libuv.
Переработка пока не привела к видимым изменениям, но в дальнейших выпусках она даст возможность реализовать некоторые существенные оптимизации производительности и добавить поддержку новых протоколов, таких как DNS over TLS.
- Улучшен процесс управления доверительными привязками DNSSEC (Trust anchor, привязанный к зоне открытый ключ для проверки подлинности этой зоны). Вместо настроек trusted-keys и managed-keys, которые теперь объявлены устаревшими, предложена новая директива trust-anchors, позволяющая управлять обоими типами ключей.
При использовании trust-anchors с ключевым словом initial-key, поведение данной директивы идентично managed-keys, т.е. определяет настройку доверительной привязки в соответствии с RFC 5011. При использовании trust-anchors с ключевым словом static-key, поведение соответствует директиве trusted-keys, т.е. определяет постоянный ключ, который не обновляется автоматически. Также в trust-anchors предлагаются ещё два ключевых слова initial-ds и static-ds, позволяющие использовать доверительные привязки в формате DS (Delegation Signer) вместо DNSKEY, который даёт возможность настройки привязок для ещё не опубликованных ключей (в будущем организация IANA планирует использовать формат DS для ключей корневых зон).
- В утилиты dig, mdig и delv добавлена опция "+yaml" для вывода в формате YAML.
- В утилиту dig добавлена опция "+[no]unexpected", разрешающая приём ответов от хостов, отличающихся от сервера, которому был отправлен запрос.
- В утилиту dig добавлена опция "+[no]expandaaaa", при указании которой IPv6-адреса в записях AAAA показываются в полном 128-битном представлении, а не в формате RFC 5952.
- Добавлена возможность переключения групп каналов статистики.
- Записи DS и CDS теперь генерируются только на базе хэшей SHA-256 (генерация на базе SHA-1 прекращена).
- Для DNS Cookie (RFC 7873) по умолчанию задействован алгоритм SipHash 2-4, а поддержка HMAC-SHA прекращена (AES оставлен).
- Вывод команд dnssec-signzone и dnssec-verify теперь направляется в стандартный выходной поток (STDOUT), а в STDERR выводятся только сведения об ошибках и предупреждениях (при указании опции "-f" также выводится подписанная зона). Для приглушения вывода добавлена опция "-q".
- Переработан код валидации DNSSEC, который избавлен от дублирования кода с другими подсистемами.
- Для вывода статистики в формате JSON теперь может использоваться только библиотека JSON-C. Опция configure "--with-libjson" переименована в "--with-json-c".
- В скрипте configure больше не выставляется по умолчанию параметр "--sysconfdir" в /etc, а "--localstatedir" в /var, если не указан параметр "--prefix". По умолчанию теперь используются пути $prefix/etc и $prefix/var, применяемые в Autoconf.
- Удалён код с реализацией сервиса DLV (Domain Look-aside Verification, опция dnssec-lookaside), который был объявлен устаревшим в BIND 9.12, а связанный с ним обработчик dlv.isc.org был выключен в 2017 году. Удаление DLV позволило избавить код BIND от лишних усложнений.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.