DNS的未來?—談DNS-over-HTTPS及其對網路治理的意涵

自從IETF RFC8484規範文件發布以來,DNS-over-HTTPS (DoH) 這項將域名解析安全化的方案,在技術社群引起不小的爭論。對於網路使用者來說,究竟域名解析是如何進行,或許已經大大超出一般使用者關心的範圍,然而,其在強化安全的背後,對於政府、ISP業者甚至網路治理組織而言,會帶來哪些可能的影響,也已經成為今年網路治理相關會議討論的焦點。

DoH技術概觀

DoH的基本作法,是將DNS解析請求透過HTTPS協定加密連線傳輸,補足傳統DNS解析安全性不足的問題,希望透過HTTPS來降低域名劫持等中間人攻擊的風險,進而強化網路安全性,並減少使用者資料被竊取的機會來保障隱私。Mozilla基金會除在IETF提出RFC8484規範文件,建立DoH的規範外,也在Firefox 62版開始支援,並與DNS服務業者Cloudflare合作,以1.1.1.1實作支援DoH的可信遞迴解析器(trusted recursive resolver)。TWNIC的Quad101,在RFC8484於去年10月生效後,也於12月宣布跟進支援DoH。此外,Google Public DNS和Quad9也在今年年初逐步支援DoH。

近年透過DNS進行大規模網路攻擊的事件層出不窮,在此情況下,直接透過使用者上網必定會使用的瀏覽器,以實作DoH的可信遞迴解析器來保護DNS解析傳輸,似乎是個快速簡便的解法。另外一項強化安全解決方案DNSSEC,推出多年來其全球普及率一直無法提升,是因為其簽署認證來自於ICANN的根域名伺服器,層層傳輸過程中進行簽署,形成信任鍊(chain of trust),確保解析結果自根域名伺服器始並未遭到竄改,故需要在各層DNS上均佈署支援DNSSEC的DNS管理軟體版本。對域名註冊商或ISP業者來說,這得冒著一旦其中任何一層認證發生錯誤,便有無法解析、影響服務的風險,還不如採取以不變應萬變的保守作法。

安全的代價

然而,看似簡易的DoH,其實更將徹底改變網路信任的生態。首先是傳輸集中化,將使瀏覽器成為新的守門員。現在,DNS傳輸散布在世界上許許多多的伺服器間,各受所在地相關法律管轄,使用者可以自由選擇;而在DoH廣泛使用的未來,四大網路瀏覽器公司掌握了全世界90%市占率,也將掌握90%的DNS傳輸,這些瀏覽器各受該公司所在國的法律管轄。而在隱私部分,雖然加密傳輸無法竊取查詢紀錄,但使用者的查詢資料就受到解析器所在國的相關法律規範、而非使用者所在國法律所管轄,DNS服務提供者也可能將這些資料作其他運用來獲利。

從使用者的角度,若對網路的信任以及安全,都掌握在少數的瀏覽器和解析器上,是不是可能會出現問題?在2月舉行的APRICOT2019/APNIC 47,APNIC主任科學家Geoff Huston 表示,為了達到保護DNS隱私的目的,使用者將必須自行選擇使用的遞迴解析器和加密方式,如果其解析器無法信任,對隱私的影響可能比什麼都不做更糟。近期Mozilla Firefox附加元件失效的事件,或許也能提供一些思考方向。極力推廣DoH的Mozilla,自2015年始便要求套件開發者都需要數位簽證,來確保使用者本機端和Firefox伺服器端都使用同樣的版本,但在5月4日,由於Firefox伺服器簽署認證過期,竟導致大量擴充套件和佈景主題失效。雖然Mozilla開發團隊盡全力修補,但使用者本機端很可能因擴充套件相容性,仍然使用較舊的版本,導致開發團隊即使釋出最新修補版,也無法徹底解決所有使用者的問題。這顯示,瀏覽器一旦發生問題,反而容易成為單點障礙(Single point of failure),且由於市場大者恆大,影響範圍將會非常廣。

對於ISP業者來說,DoH除了可能因強制使用遠端解析器,而影響內容傳遞網路的效率外,也有安全上的顧慮。許多ISP業者能夠透過在地化DNS設定過濾惡意軟體和殭屍網路,並且由監控DNS流量來了解網路問題,或者是否受惡意軟體影響。使用DoH則會讓ISP喪失這些途徑,遠端解析器不大可能對單一地區受威脅的狀況進行反應,而ISP業者更完全無法取得DoH流量資訊。當政府因執法需求,直接要求ISP業者提供使用者網路造訪紀錄時,在使用DoH的狀況下,亦無從回應。以英國為例,2016年通過的調查權力法案(Investigatory Power Act),要求ISP業者留存用戶長達12個月網路使用資料,使用DoH則ISP業者將無法達成此要求,這也使得英國各大電信業者紛紛公開表示DoH的可能影響,希望能夠協調出應對方案來因應。

更甚者,在廣泛使用DoH瀏覽器的未來,是誰真正負責管轄、具有型塑網路發展的能力?若是以DNSSEC強化安全,其信任的對象即是負責管理根域名伺服器的ICANN,以及其多方利害關係人治理架構,但使用DoH時,信任對象便轉移至瀏覽器公司以及合作提供DNS解析服務的業者,並將受到所在國法律管轄。在今年已經舉行的幾個網路治理重要會議上,DoH以及其潛在意涵都是核心討論議題,如3月的ICANN 64與5月11日剛結束的ICANN DNS Symposium,Open-Xchange的政策總監Vittorio Bertola在發表中提醒,DoH實質上是網路政策議題,而不單單是一個強化安全方案而已。

小結

雖然政府、ISP業者以及技術社群均提出疑慮,由現況來看,DoH的潮流恐怕已經很難避免,尤其市占率最大的Google Chrome,已經傳出將在下一次更新正式支援DoH,預期可能會大幅增加整體解析流量中DoH的占比,要如何因應,也將會是未來整個網路治理社群必須共同面對的議題。

  1. 101.101.101.101 支援 DoH (Queries over HTTPS), 台灣網路資訊中心2019年1月份電子報
  2. John E Dunn, DNS over HTTPS is coming whether ISPs and governments like it or not, naked security by SOPHOS 2019/04/24
  3. Zak Doffman, Google Chrome Update — ‘A Threat To Children, Cybersecurity And Government Snooping,’ The Forbes 2019/04/22
  4. Geoff Huston, DNS Privacy, APRICOT 2019, 2019/02/27

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *