DNS的未來?—談DNS-over-HTTPS及其對網路治理的意涵

自從IETF RFC8484規範文件發布以來,DNS-over-HTTPS (DoH) 這項將域名解析安全化的方案,在技術社群引起不小的爭論。對於網路使用者來說,究竟域名解析是如何進行,或許已經大大超出一般使用者關心的範圍,然而,其在強化安全的背後,對於政府、ISP業者甚至網路治理組織而言,會帶來哪些可能的影響,也已經成為今年網路治理相關會議討論的焦點。

DoH技術概觀

DoH的基本作法,是將DNS解析請求透過HTTPS協定加密連線傳輸,補足傳統DNS解析安全性不足的問題,希望透過HTTPS來降低域名劫持等中間人攻擊的風險,進而強化網路安全性,並減少使用者資料被竊取的機會來保障隱私。Mozilla基金會除在IETF提出RFC8484規範文件,建立DoH的規範外,也在Firefox 62版開始支援,並與DNS服務業者Cloudflare合作,以1.1.1.1實作支援DoH的可信遞迴解析器(trusted recursive resolver)。TWNIC的Quad101,在RFC8484於去年10月生效後,也於12月宣布跟進支援DoH。此外,Google Public DNS和Quad9也在今年年初逐步支援DoH。

近年透過DNS進行大規模網路攻擊的事件層出不窮,在此情況下,直接透過使用者上網必定會使用的瀏覽器,以實作DoH的可信遞迴解析器來保護DNS解析傳輸,似乎是個快速簡便的解法。另外一項強化安全解決方案DNSSEC,推出多年來其全球普及率一直無法提升,是因為其簽署認證來自於ICANN的根域名伺服器,層層傳輸過程中進行簽署,形成信任鍊(chain of trust),確保解析結果自根域名伺服器始並未遭到竄改,故需要在各層DNS上均佈署支援DNSSEC的DNS管理軟體版本。對域名註冊商或ISP業者來說,這得冒著一旦其中任何一層認證發生錯誤,便有無法解析、影響服務的風險,還不如採取以不變應萬變的保守作法。

安全的代價

然而,看似簡易的DoH,其實更將徹底改變網路信任的生態。首先是傳輸集中化,將使瀏覽器成為新的守門員。現在,DNS傳輸散布在世界上許許多多的伺服器間,各受所在地相關法律管轄,使用者可以自由選擇;而在DoH廣泛使用的未來,四大網路瀏覽器公司掌握了全世界90%市占率,也將掌握90%的DNS傳輸,這些瀏覽器各受該公司所在國的法律管轄。而在隱私部分,雖然加密傳輸無法竊取查詢紀錄,但使用者的查詢資料就受到解析器所在國的相關法律規範、而非使用者所在國法律所管轄,DNS服務提供者也可能將這些資料作其他運用來獲利。

從使用者的角度,若對網路的信任以及安全,都掌握在少數的瀏覽器和解析器上,是不是可能會出現問題?在2月舉行的APRICOT2019/APNIC 47,APNIC主任科學家Geoff Huston 表示,為了達到保護DNS隱私的目的,使用者將必須自行選擇使用的遞迴解析器和加密方式,如果其解析器無法信任,對隱私的影響可能比什麼都不做更糟。近期Mozilla Firefox附加元件失效的事件,或許也能提供一些思考方向。極力推廣DoH的Mozilla,自2015年始便要求套件開發者都需要數位簽證,來確保使用者本機端和Firefox伺服器端都使用同樣的版本,但在5月4日,由於Firefox伺服器簽署認證過期,竟導致大量擴充套件和佈景主題失效。雖然Mozilla開發團隊盡全力修補,但使用者本機端很可能因擴充套件相容性,仍然使用較舊的版本,導致開發團隊即使釋出最新修補版,也無法徹底解決所有使用者的問題。這顯示,瀏覽器一旦發生問題,反而容易成為單點障礙(Single point of failure),且由於市場大者恆大,影響範圍將會非常廣。

對於ISP業者來說,DoH除了可能因強制使用遠端解析器,而影響內容傳遞網路的效率外,也有安全上的顧慮。許多ISP業者能夠透過在地化DNS設定過濾惡意軟體和殭屍網路,並且由監控DNS流量來了解網路問題,或者是否受惡意軟體影響。使用DoH則會讓ISP喪失這些途徑,遠端解析器不大可能對單一地區受威脅的狀況進行反應,而ISP業者更完全無法取得DoH流量資訊。當政府因執法需求,直接要求ISP業者提供使用者網路造訪紀錄時,在使用DoH的狀況下,亦無從回應。以英國為例,2016年通過的調查權力法案(Investigatory Power Act),要求ISP業者留存用戶長達12個月網路使用資料,使用DoH則ISP業者將無法達成此要求,這也使得英國各大電信業者紛紛公開表示DoH的可能影響,希望能夠協調出應對方案來因應。

更甚者,在廣泛使用DoH瀏覽器的未來,是誰真正負責管轄、具有型塑網路發展的能力?若是以DNSSEC強化安全,其信任的對象即是負責管理根域名伺服器的ICANN,以及其多方利害關係人治理架構,但使用DoH時,信任對象便轉移至瀏覽器公司以及合作提供DNS解析服務的業者,並將受到所在國法律管轄。在今年已經舉行的幾個網路治理重要會議上,DoH以及其潛在意涵都是核心討論議題,如3月的ICANN 64與5月11日剛結束的ICANN DNS Symposium,Open-Xchange的政策總監Vittorio Bertola在發表中提醒,DoH實質上是網路政策議題,而不單單是一個強化安全方案而已。

小結

雖然政府、ISP業者以及技術社群均提出疑慮,由現況來看,DoH的潮流恐怕已經很難避免,尤其市占率最大的Google Chrome,已經傳出將在下一次更新正式支援DoH,預期可能會大幅增加整體解析流量中DoH的占比,要如何因應,也將會是未來整個網路治理社群必須共同面對的議題。

  1. 101.101.101.101 支援 DoH (Queries over HTTPS), 台灣網路資訊中心2019年1月份電子報
  2. John E Dunn, DNS over HTTPS is coming whether ISPs and governments like it or not, naked security by SOPHOS 2019/04/24
  3. Zak Doffman, Google Chrome Update — ‘A Threat To Children, Cybersecurity And Government Snooping,’ The Forbes 2019/04/22
  4. Geoff Huston, DNS Privacy, APRICOT 2019, 2019/02/27

網路治理與數位合作

由左至右:理律法律事務所曾更瑩律師、台灣經濟研究院林欣吾所長、中研院社會所吳齊殷副所長、NII產業發展協進會吳國維顧問、台灣網路資訊中心黃勝雄執行長、國家通訊傳播委員會沈信雄科長、台灣人權促進會沈伯洋副會長

台灣網路資訊中心為鼓勵國內利害關係人積極參與數位議題討論,推動多方合作、建立共識,特舉辦「網路社群與數位合作」專家座談會,希望鼓勵台灣網路社群及多方利害關係人,一同探討國內數位發展、網路議題,並探索需要採取行動的領域。

閱讀全文 “網路治理與數位合作”

ICANN遞交申請,希望成為ITU-D成員

2月28日,ICANN宣布已遞交申請,希望成為國際電信聯盟發展部門( Telecommunication Development Sector of the International Telecommunications Union,ITU-D)成員。

ITU-D的目標之一,是促進國際合作,進一步協助發展中國家建立、發展,以及改善國家電子通訊設備及網路建設。ITU-D致力於網路發展,更特別關注國際公共政策議題及區域培力,而這些都與ICANN息息相關。 閱讀全文 “ICANN遞交申請,希望成為ITU-D成員”

ICANN敦促全面佈署DNSSEC

由於近來鎖定DNS基礎建設的攻擊事件頻傳,負責協調頂級域名系統運作穩定、安全,且全球可通用解析的ICANN 呼籲全面佈署DNSSEC,並重申其保護全球網路識別碼系統安全、穩定及靈活性的使命。

包括美國政府及眾多網路安全公司皆發布相關DNS受威脅的警報,根據這些通報,此波攻擊模式不僅手法多樣,攻擊面向亦相當廣泛。其中某些攻擊鎖定DNS,透過將原本指定目的地伺服器轉換成駭客掌控的位址,將使用者導向惡意網站。這種把DNS當成攻擊目標的手法,只有在未架設DNSSEC的域名系統中才會成功。 閱讀全文 “ICANN敦促全面佈署DNSSEC”

菲律賓採多方利害關係人模式訂定國家ICT架構

菲律賓於2月21日公布該國的ICT架構—國家級ICT生態系統架構(The National ICT Ecosystem Framework, NICTEF),提出數位轉型如何賦權其人民及強化整體經濟。NICTEF的前身是2011~2016年間執行的菲律賓數位策略倡議(Philippine Digital Strategy initiative),這個新架構是由多方利害關係人(multistakeholder)共同合作、對話和討論而制定出來的。 閱讀全文 “菲律賓採多方利害關係人模式訂定國家ICT架構”

ISOC波札那分部探討IoT對地區發展的意涵

一講到物聯網(IoT),大家也許馬上聯想到追蹤與監測系統、穿戴式裝置,以及智能家居或智慧城市,這些IoT的代名詞對目前非洲地區的居民來說可能較難有關聯性,但是提到IoT在農業、灌溉和公用事業(水電等)管理上的潛在用途,則能讓他們更容易理解這項新科技的概念。 閱讀全文 “ISOC波札那分部探討IoT對地區發展的意涵”

韓國網路資訊中心(KRNIC)近期優先工作事項

今(2019)年2月的亞太網路科技高峰會(Asia Pacific Regional Internet Conference on Operational Technologies, APRICOT)於韓國大田舉辦,身為亞太區七個國家網路註冊管理機構之一的韓國網路資訊中心(Korea Network Information Center, KRNIC),主要任務為分配和指派韓國的IP位址和自主系統編號(ASN),提供域名註冊服務給.kr的域名,並確保DNS的營運、發展和安全,目前該中心的優先工作項目放在網路安全和人才培訓上。 閱讀全文 “韓國網路資訊中心(KRNIC)近期優先工作事項”

ISOC執行長疾呼各界幫助,讓網路更完好

二月底甫成功落幕的亞太網路科技高峰會(APRICOT)共有來自64個經濟體、超過700位的參與者與會,會議包括5天的工作坊(主題有網路安全、IPv6、網路管理、校園網路設計和運營等)和4天的研討會(50個場次和140位講者),此外也舉辦了一場駭客松。 閱讀全文 “ISOC執行長疾呼各界幫助,讓網路更完好”

《網路政策期刊》徵稿:網路整合特刊

近年來,一些大型網路科技公司對網路生態產生的影響以及供應商集中化的情形備受爭議,帶來無限的自由創新、競爭和成長的集體平台已逐漸變成由少數人主導的整合環境,網際網路協會(ISOC)和皇家國際事務研究所(Chatham House)正合作籌畫《網路政策期刊》(Journal of Cyber Policy)之2020年春季特刊,旨在探討支配市場的力量影響網路基礎架構的程度。 閱讀全文 “《網路政策期刊》徵稿:網路整合特刊”

SSR2審核小組:近況更新

根據ICANN組織章程(4.4、4.6),ICANN每五年必須從各諮詢委員會(Advisory Committee,AC)、支援組織(Supporting Organization,SO)召集獨立審核小組,審核ICANN的運作狀況。「安全性、穩定性及靈活性審核」(Security, Stability, and Resiliency Review,SSR)乃四項必辦審核之一,主要目的為檢視網域名稱系統(DNS)與唯一識別碼(unique identifier)的安全、穩定,及靈活性。 閱讀全文 “SSR2審核小組:近況更新”