Вышел DNS-сервер BIND 9.7.0
Увидел свет первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.
Главные новшества:
- Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
- Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации "dnssec-lookaside auto;", который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
- Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
- Для named реализована опция "attach-cache", позволяющая привязать несколько представлений зоны (view) к общему кэшу;
- Добавлена защита от "DNS rebinding" атак;
- Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
- Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
- Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
- В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
- Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.
В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.