BIND named versie 9.11 brengt diverse verbeteringen voor DNSSEC
Gepubliceerd op 20-10-2016
Eerder deze maand heeft ISC versie 9.11 van BIND named uitgebracht. Deze release bevat diverse belangrijke verbeteringen op gebied van DNSSEC ten opzichte van de vorige versies:
- beantwoording van queries in real-time op basis van data uit een LDAP back-end via een nieuwe DynDB-interface
- een nieuwe tool voor DNSSEC-sleutelbeheer: dnssec-keymgr. Dit commando bevat een wrapper op de bestaande commando's voor sleutelbeheer en wordt bij voorkeur regelmatig uitgevoerd via cron. Nieuwe sleutelparen worden dan automatisch aangemaakt, gepubliceerd en gerold, en dat alles op basis van een policy in een configuratiebestand.
- De rndc configuratie-tool biedt nu ondersteuning voor de dynamische toevoeging van Negative Trust Anchors (NTA's) zoals gedefinieerd in RFC 7646. Zo kunnen domeinnamen tijdelijk op een whitelist worden gezet in geval van "administratieve ongelukken".
- De optie 'trust-anchor-telemetry' laat named elke dag een speciaal query-bericht (RFC 8145) sturen naar de eigenaars van zones waarvoor een trust anchor is gedefinieerd. Die berichtjes kunnen gebruikt worden als trigger voor een roll-over of het verwijderen van oud sleutelmateriaal.
- De DNSSEC Lookaside Validation (DLV) service van ISC zal volgend jaar gestopt worden. Wie het gebruik van deze dienst heeft geconfigureerd krijgt nu automatisch een waarschuwing.