Trường hợp sử dụng của SVCB (loại 65 , liên kết dịch vụ) RR là gì

SVCB/HTTPS Các bản ghi DNS hiện đang được xử lý (xem https://github.com/MikeBishop/dns-alt-svc/blob/master/draft-ietf-dnsop-svcb-https.md cho các tài liệu làm việc hoặc https://www.ietf.org/archive/id/draft-ietf-dnsop-svcb-https-07.txt tại IETF) nhưng chưa được hoàn thiện.

Tình huống mơ hồ kỳ lạ hiện nay là IANA đã đăng ký mã cho chúng (đó là lý do tại sao chúng có thể xảy ra ngoài tự nhiên và có thể tương tác với nhau, thông qua cách RFC 3597 xử lý các loại bản ghi chung), ngay cả khi RFC chưa sẵn sàng /published và một số nhà cung cấp (Apple và Cloudflare, xem bên dưới) cho biết họ đã triển khai và sử dụng nó.

Nhìn thấy https://blog.cloudflare.com/speeding-up-https-and-http-3-negotiation-with-dns/ ví dụ cho Cloudflare, cũng đưa ra ví dụ về lý do tại sao nó được sử dụng. Tôi khuyên bạn nên đọc nó, có thể là trước tiêu chuẩn kỹ thuật, trừ khi bạn đã thành thạo DNS và TLS.

Về cơ bản, ý tưởng xuất hiện sau/trong TLS 1.3 (và ứng dụng khách được mã hóa Hello/các nhu cầu SNI được mã hóa) và HTTP/3 và QUIC.Tài liệu nhằm mục đích giải quyết nhiều vấn đề trong thực tế, trong đó một phần của chúng đã được giải quyết bằng CHXHCNVN bản ghi mà không có trình duyệt nào quyết định triển khai sau đó.

Như lấy từ bản tóm tắt:

SVCB hồ sơ cho phép một dịch vụ được cung cấp từ nhiều thay thế điểm cuối, mỗi điểm có các tham số liên quan (chẳng hạn như vận chuyển cấu hình giao thức và các khóa để mã hóa TLS ClientHello). Chúng cũng cho phép đặt bí danh cho các miền apex, điều không thể thực hiện được với CNAME. Bản ghi tài nguyên HTTPS là một biến thể của SVCB cho HTTPS và HTTP nguồn gốc. Bằng cách cung cấp thêm thông tin cho khách hàng trước khi nó cố gắng thiết lập kết nối, những bản ghi này mang lại tiềm năng lợi ích cho cả hiệu suất và quyền riêng tư.

Bây giờ về điểm cụ thể của bạn:

tôi. Type65 RR có thể thay thế CNAME không, đặc biệt là trong trường hợp chúng tôi không thể có CNAME ở cấp cao nhất của khu vực

Đúng, SVCB/HTTPS được thiết kế để giúp xử lý trường hợp "CNAME at apex". Xem "10.3.2. Bí danh Apex" trong bản nháp:

   Hãy xem xét một khu vực đang sử dụng bí danh CNAME:

   bí danh $ORIGIN.example. ; Một khu vực đang sử dụng dịch vụ lưu trữ
   ; Tên miền phụ được đặt bí danh cho nhóm máy chủ hiệu suất cao
   www 7200 TRONG CNAME pool.svc.example.
   ; Miền Apex trên các IP cố định vì CNAME không được phép ở đỉnh
   @ 300 TRONG 192.0.2.1
                        TRONG AAAA 2001:db8::1

   Với các bản ghi bản ghi HTTPS, chủ sở hữu của aliased.example có thể đặt tên cho apex bằng cách
   thêm một bản ghi bổ sung:

   @ 7200 TRONG HTTPS 0 pool.svc.example.

thứ hai. Làm cách nào tôi có thể hướng dẫn trình duyệt yêu cầu truy vấn type65 thay vì A hoặc AAAA cho miền của mình để tôi có abc.com trực tiếp qua CDN

Bạn sẽ phải đợi trình duyệt hỗ trợ nó :-)

Hãy xem chủ đề tại https://mailarchive.ietf.org/arch/msg/dnsop/eeP4H9fli712JPWnEMvDg1sLEfg/ ; Có vẻ như có hỗ trợ trong iOS 14 và Safari, theo một số cách thử nghiệm.

Bài viết trên blog tại Cloudflare đưa ra ở cuối hai liên kết để theo dõi trạng thái của tính năng trong Firefox và Chrome:

• https://groups.google.com/a/chromium.org/g/blink-dev/c/brZTXr6-2PU/m/g0g8wWwCAwAJ nêu rõ vào tháng 4 năm 2021: "Chrome sẽ sớm bắt đầu thử nghiệm truy vấn HTTPS và INTEGRITY qua DNS cổ điển (Do53) trên các nền tảng mà Chrome thường xuyên xử lý Do53 thông qua trình phân giải tích hợp sẵn (Android, ChromeOS và MacOS)."
• https://bugzilla.mozilla.org/show_bug.cgi?id=1634793 : chỉ hiển thị rằng tính năng này hiện phụ thuộc vào 5 lỗi khác vẫn còn đang mở có thể cần phải được khắc phục trước mà không có bất kỳ khung thời gian nào

Nhân tiện, hài lòng không làm xáo trộn xấu. Sử dụng ví dụ.com trong tài liệu, xem RFC2606

iii. phiên bản liên kết nào hỗ trợ SVCB (loại 65) RR

Không có vận chuyển nào được nêu ra. Điều này được theo dõi trong https://gitlab.isc.org/isc-projects/bind9/-/issues/1132 Nó đã được hợp nhất 6 ngày trước :-) Vì vậy, có thể các phiên bản tiếp theo sẽ vận chuyển nó, dựa trên những gì có trong vé cho cột mốc quan trọng: "Tháng 9 năm 2021 (9.11.36, 9.11.36-S1, 9.16.21, 9.16.21-S1, 9.17.18)"

Tuy nhiên, nhờ có RFC 3597, bạn có thể nhập các bản ghi bằng cú pháp chung, với LOẠI65 trong tệp vùng và liên kết sẽ phục vụ nó. Rõ ràng là bạn mất kiểm tra cú pháp và các tính năng khác (bạn có thể xem https://gitlab.isc.org/isc-projects/bind9/-/merge_requests/5332/diffs để xem chính xác "thêm hỗ trợ SVCB/HTTPS để liên kết" nghĩa là gì về mặt mã; xem §4 trong dự thảo IETF để xem trình phân giải đệ quy và có thẩm quyền hỗ trợ cụ thể nào cần phải có cho các bản ghi này; đó là NÊN nên các biến thể được chấp nhận nếu có lý do chính đáng, chẳng hạn như phần mềm chưa hỗ trợ đầy đủ thực sự), nhưng ít nhất bạn có thể phục vụ các bản ghi.

Nhưng hãy nhớ rằng, không chỉ có ràng buộc ở đó:

• PowerDNS đã hỗ trợ: https://doc.powerdns.com/authoritative/guides/svcb.html
• Phiên bản tháng 7 của nsd cũng có hỗ trợ: https://www.nlnetlabs.nl/news/2021/Jul/22/nsd-4.3.7-released/ với "Các tính năng mới là XoT cung cấp AXFR và IXFR qua TLS, đồng thời hỗ trợ DNS Cookies cũng như hỗ trợ loại RR SVCB và HTTPS."
• Knot DNS cũng vậy, tại https://www.knot-dns.cz/2021-08-02-version-310.html với bản phát hành tháng 8 và một số hỗ trợ: "libs: hỗ trợ phân tích cú pháp và kết xuất các bản ghi tài nguyên SVCB và HTTPS"

Vì vậy, bạn đã có thể thử nghiệm hỗ trợ đầy đủ với phần mềm khác.