Каков вариант использования SVCB (тип 65, привязка службы) RR

СВЦБ/HTTPS Записи DNS в настоящее время обрабатываются (см. https://github.com/MikeBishop/dns-alt-svc/blob/master/draft-ietf-dnsop-svcb-https.md для рабочего документа или https://www.ietf.org/archive/id/draft-ietf-dnsop-svcb-https-07.txt в IETF), но еще не завершен.

Странная двусмысленная ситуация прямо сейчас заключается в том, что IANA уже зарегистрировала коды для них (именно поэтому они уже могут встречаться в дикой природе и быть совместимыми благодаря способу обработки общих типов записей RFC 3597), даже если RFC еще не готов. /published, а некоторые поставщики (Apple и Cloudflare, см. ниже) заявили, что уже внедрили и используют его.

Видеть https://blog.cloudflare.com/speeding-up-https-and-http-3-negotiation-with-dns/ например для Cloudflare, который также дает пример, почему он используется. Рекомендую прочитать, возможно, перед самим техническим стандартом, кроме тех случаев, когда вы уже осваиваете DNS и TLS.

Идея возникла в основном после/во время TLS 1.3 (и требуется зашифрованный clientHello/зашифрованный SNI), а также HTTP/3 и QUIC.Документ направлен на решение множества проблем по факту, часть из которых уже была решена СРВ записи, которые ни один браузер тогда не решился реализовать.

Как взято из аннотации:

СВЦБ записи позволяют предоставлять услугу из нескольких альтернативных конечные точки, каждая со связанными параметрами (например, конфигурация протокола и ключи для шифрования TLS ClientHello). Они также позволяют использовать псевдонимы доменов вершины, что невозможно с CNAME. HTTPS RR — это разновидность SVCB для HTTPS и HTTP. происхождение. Предоставляя больше информации клиенту до того, как он попытки установить связь, эти записи потенциально преимущества как для производительности, так и для конфиденциальности.

Теперь по вашим конкретным пунктам:

я. Может ли type65 RR быть заменой CNAME , особенно в случаях, когда мы не можем иметь CNAME на верхнем уровне зоны

Да, SVCB/HTTPS были разработаны, чтобы помочь в обработке случая «CNAME at apex». См. «10.3.2. Псевдонимы вершин» в черновике:

   Рассмотрим зону, в которой используется псевдоним CNAME:

   $ORIGIN псевдоним.example. ; Зона, использующая услугу хостинга
   ; Субдомен связан с высокопроизводительным пулом серверов
   www 7200 IN CNAME pool.svc.example.
   ; Домен Apex на фиксированных IP-адресах, потому что CNAME не разрешено на вершине
   @ 300 В А 192.0.2.1
                        В АААА 2001:db8::1

   При использовании HTTPS RR владелец aliased.example может использовать псевдоним для вершины,
   добавление одной дополнительной записи:

   @ 7200 IN HTTPS 0 pool.svc.example.

II. Как я могу указать браузерам запрашивать запросы типа 65 вместо A или AAAA для моего домена, чтобы у меня был мой abc.com непосредственно через CDN

Вам придется подождать, пока браузеры не поддержат его :-)

Посмотрите ветку на https://mailarchive.ietf.org/arch/msg/dnsop/eeP4H9fli712JPWnEMvDg1sLEfg/ ; есть поддержка в iOS 14 и Safari, кажется, в некотором экспериментальном порядке.

Статья в блоге Cloudflare дает в конце две ссылки для отслеживания статуса функции в Firefox и Chrome:

• https://groups.google.com/a/chromium.org/g/blink-dev/c/brZTXr6-2PU/m/g0g8wWwCAwAJ заявив в апреле 2021 года: «Chrome скоро начнет экспериментировать с запросами HTTPS и INTEGRITY через классический DNS (Do53) на платформах, где Chrome регулярно обрабатывает Do53 через встроенный преобразователь (Android, ChromeOS и MacOS)».
• https://bugzilla.mozilla.org/show_bug.cgi?id=1634793 : просто показываю, что функция прямо сейчас зависит от 5 других все еще открытых ошибок, которые, вероятно, нужно сначала закрыть, без каких-либо временных рамок.

Кстати, порадовал, не сильно обфускируйте. Использовать пример.com в документации см. RFC2606

III. какая версия привязки поддерживает SVCB (тип 65) RR

Еще никто не отправил. Это отслеживается в https://gitlab.isc.org/isc-projects/bind9/-/issues/1132 Он был объединен 6 дней назад :-) Так что, возможно, в следующих версиях он будет отправлен, основываясь на том, что указано в билете для вехи: «Сентябрь 2021 г. (9.11.36, 9.11.36-С1, 9.16.21, 9.16.21-С1, 9.17.18)»

Однако благодаря RFC 3597 вы сможете вводить записи, используя общий синтаксис, с ТИП65 в файле зоны, и bind должен его обслуживать. Вы явно теряете проверку синтаксиса и другие функции (вы можете посмотреть на https://gitlab.isc.org/isc-projects/bind9/-/merge_requests/5332/diffs чтобы точно увидеть, что означает «добавление поддержки SVCB/HTTPS для привязки» с точки зрения кода; см. §4 в черновике IETF, чтобы узнать, какую конкретную поддержку должны иметь авторитетные и рекурсивные распознаватели для этих записей; это СЛЕДУЕТ, поэтому варианты принимаются, если есть веские причины, такие как отсутствие полной поддержки в программном обеспечении), но, по крайней мере, вы можете обслуживать записи.

Но помните, там не просто привязка:

• PowerDNS уже поддерживает: https://doc.powerdns.com/authoritative/guides/svcb.html
• Июльская версия nsd также имеет поддержку: https://www.nlnetlabs.nl/news/2021/Jul/22/nsd-4.3.7-released/ с «Новыми функциями являются XoT, который обеспечивает AXFR и IXFR через TLS, а также поддержку файлов cookie DNS и поддержку типа SVCB и HTTPS RR».
• Узел DNS также, в https://www.knot-dns.cz/2021-08-02-version-310.html с августовским выпуском и некоторой поддержкой: «libs: поддержка разбора и дампа записей ресурсов SVCB и HTTPS»

Таким образом, вы уже можете экспериментировать с полной поддержкой другого программного обеспечения.