DNS的未來？—談DNS-over-HTTPS及其對網路治理的意涵

自從IETF RFC8484規範文件發布以來，DNS-over-HTTPS (DoH) 這項將域名解析安全化的方案，在技術社群引起不小的爭論。對於網路使用者來說，究竟域名解析是如何進行，或許已經大大超出一般使用者關心的範圍，然而，其在強化安全的背後，對於政府、ISP業者甚至網路治理組織而言，會帶來哪些可能的影響，也已經成為今年網路治理相關會議討論的焦點。

DoH技術概觀

DoH的基本作法，是將DNS解析請求透過HTTPS協定加密連線傳輸，補足傳統DNS解析安全性不足的問題，希望透過HTTPS來降低域名劫持等中間人攻擊的風險，進而強化網路安全性，並減少使用者資料被竊取的機會來保障隱私。Mozilla基金會除在IETF提出RFC8484規範文件，建立DoH的規範外，也在Firefox 62版開始支援，並與DNS服務業者Cloudflare合作，以1.1.1.1實作支援DoH的可信遞迴解析器（trusted recursive resolver）。TWNIC的Quad101服務，在RFC8484於去年10月生效後，也於12月宣布跟進支援DoH。此外，Google Public DNS和Quad9也在今年年初逐步支援DoH。

近年透過DNS進行大規模網路攻擊的事件層出不窮，在此情況下，直接透過使用者上網必定會使用的瀏覽器，以實作DoH的可信遞迴解析器來保護DNS解析傳輸，似乎是個快速簡便的解法。另外一項強化安全解決方案DNSSEC，推出多年來其全球普及率一直無法提升，是因為其簽署認證來自於ICANN的根域名伺服器，層層傳輸過程中進行簽署，形成信任鍊（chain of trust），確保解析結果自根域名伺服器始並未遭到竄改，故需要在各層DNS上均佈署支援DNSSEC的DNS管理軟體版本。對域名註冊商或ISP業者來說，這得冒著一旦其中任何一層認證發生錯誤，便有無法解析、影響服務的風險，還不如採取以不變應萬變的保守作法。

安全的代價

然而，看似簡易的DoH，其實更將徹底改變網路信任的生態。首先是傳輸集中化，將使瀏覽器成為新的守門員。現在，DNS傳輸散布在世界上許許多多的伺服器間，各受所在地相關法律管轄，使用者可以自由選擇；而在DoH廣泛使用的未來，四大網路瀏覽器公司掌握了全世界90%市占率，也將掌握90%的DNS傳輸，這些瀏覽器各受該公司所在國的法律管轄。而在隱私部分，雖然加密傳輸無法竊取查詢紀錄，但使用者的查詢資料就受到解析器所在國的相關法律規範、而非使用者所在國法律所管轄，DNS服務提供者也可能將這些資料作其他運用來獲利。

從使用者的角度，若對網路的信任以及安全，都掌握在少數的瀏覽器和解析器上，是不是可能會出現問題？在2月舉行的APRICOT2019/APNIC 47，APNIC主任科學家Geoff Huston 表示，為了達到保護DNS隱私的目的，使用者將必須自行選擇使用的遞迴解析器和加密方式，如果其解析器無法信任，對隱私的影響可能比什麼都不做更糟。近期Mozilla Firefox附加元件失效的事件，或許也能提供一些思考方向。極力推廣DoH的Mozilla，自2015年始便要求套件開發者都需要數位簽證，來確保使用者本機端和Firefox伺服器端都使用同樣的版本，但在5月4日，由於Firefox伺服器簽署認證過期，竟導致大量擴充套件和佈景主題失效。雖然Mozilla開發團隊盡全力修補，但使用者本機端很可能因擴充套件相容性，仍然使用較舊的版本，導致開發團隊即使釋出最新修補版，也無法徹底解決所有使用者的問題。這顯示，瀏覽器一旦發生問題，反而容易成為單點障礙（Single point of failure），且由於市場大者恆大，影響範圍將會非常廣。

對於ISP業者來說，DoH除了可能因強制使用遠端解析器，而影響內容傳遞網路的效率外，也有安全上的顧慮。許多ISP業者能夠透過在地化DNS設定過濾惡意軟體和殭屍網路，並且由監控DNS流量來了解網路問題，或者是否受惡意軟體影響。使用DoH則會讓ISP喪失這些途徑，遠端解析器不大可能對單一地區受威脅的狀況進行反應，而ISP業者更完全無法取得DoH流量資訊。當政府因執法需求，直接要求ISP業者提供使用者網路造訪紀錄時，在使用DoH的狀況下，亦無從回應。以英國為例，2016年通過的調查權力法案（Investigatory Power Act），要求ISP業者留存用戶長達12個月網路使用資料，使用DoH則ISP業者將無法達成此要求，這也使得英國各大電信業者紛紛公開表示DoH的可能影響，希望能夠協調出應對方案來因應。

更甚者，在廣泛使用DoH瀏覽器的未來，是誰真正負責管轄、具有型塑網路發展的能力？若是以DNSSEC強化安全，其信任的對象即是負責管理根域名伺服器的ICANN，以及其多方利害關係人治理架構，但使用DoH時，信任對象便轉移至瀏覽器公司以及合作提供DNS解析服務的業者，並將受到所在國法律管轄。在今年已經舉行的幾個網路治理重要會議上，DoH以及其潛在意涵都是核心討論議題，如3月的ICANN 64與5月11日剛結束的ICANN DNS Symposium，Open-Xchange的政策總監Vittorio Bertola在發表中提醒，DoH實質上是網路政策議題，而不單單是一個強化安全方案而已。

小結

雖然政府、ISP業者以及技術社群均提出疑慮，由現況來看，DoH的潮流恐怕已經很難避免，尤其市占率最大的Google Chrome，已經傳出將在下一次更新正式支援DoH，預期可能會大幅增加整體解析流量中DoH的占比，要如何因應，也將會是未來整個網路治理社群必須共同面對的議題。

1. 101.101.101.101 支援 DoH (Queries over HTTPS), 台灣網路資訊中心2019年1月份電子報
2. John E Dunn, DNS over HTTPS is coming whether ISPs and governments like it or not, naked security by SOPHOS 2019/04/24
3. Zak Doffman, Google Chrome Update — ‘A Threat To Children, Cybersecurity And Government Snooping,’ The Forbes 2019/04/22
4. Geoff Huston, DNS Privacy, APRICOT 2019, 2019/02/27