APNIC文摘—DNSSEC validation revisited(上)

本APNIC文摘原標題為DNSSEC validation revisited,由APNIC首席科學家Geoff Huston撰文。

DNSSEC是一種用來加強DNS安全的技術。當使用者想要前往特定網站,他使用的裝置內建伺服器會送出DNS查詢;這個伺服器得到DNS回傳的答案後,就可以將使用者帶往目的地。當然,這是以最基本、最略的方式理解DNS運作原理;而DNSSEC的任務,就是確保DNS回傳的回應沒有被中途變造。 閱讀全文 “APNIC文摘—DNSSEC validation revisited(上)”

ICANN66重點回顧

圖片來源:ICANN官方網站

今年ICANN最後一場會議,ICANN66年度大會,在11月降下初雪的蒙特婁圓滿結束。明年第一場會議,ICANN67社群會議將於墨西哥坎昆舉行。若無意外,辦在3月初的ICANN67,將與美國大學春假期間重合。大家可以期待明年在美國大學生度假首選的坎昆享受陽光沙灘,以及無所不在的狂歡大學生。 

在那之前,讓我們回顧ICANN66蒙特婁會議的幾個重要議題。  閱讀全文 “ICANN66重點回顧”

儘管ISP業者反對,主要瀏覽器供應商終將推展DoH

DNS over HTTPS(DoH)協定是近期的熱門話題之一,當該協定布署在瀏覽器中,瀏覽器可將DNS請求和回應隱藏在HTTPS訊務中, 使得ISP業者無法監視用戶的DNS訊務,因此有助於改善用戶的網路隱私,然而卻遭到ISP業者、網路營運商和網路安全供應商的厭惡和反對。Mozilla因推展DoH而被英國ISP業者稱為「網路惡棍」(Internet villain),另外由Comcast支持的遊說團體被媒體揭發向美國議員提出有關DoH的誤導性文件,以期防止該協定擴大推出。 閱讀全文 “儘管ISP業者反對,主要瀏覽器供應商終將推展DoH”

APNIC文摘—DNS大戰(下)

「DNS大戰」下篇將介紹企業型民族國家(corporate nation-state)在IT產業的生成。一個國家的主權領域包括陸地、海洋、天空,隨後擴展至太空,現在還增加了由資訊科技所定義的領域。如果網路被視為人類活動的獨特領域,就像陸地和海洋一樣,可由特定主體宣稱其主權,以Google為例,行動裝置的作業系統有90%是Android,而超過70%的用戶使用Chrome瀏覽器,那麼民族國家(nation-state)的模式便可適用於此,Google可在龐大的資訊科技領域宣稱其主權,並捍衛其資產,監管勢必遭到Google的否定。 閱讀全文 “APNIC文摘—DNS大戰(下)”

APNIC文摘—DNS大戰(上)

本APNIC文摘原標題為DNS Wars,是由APNIC首席科學家Geoff Huston撰文。於10月底在德州奧斯汀舉辦的第77次北美網路維運論壇(NANOG),邀請美國網路安全公司Farsight Security的執行長Paul Vixie發表有關DNS和網路發展的專題演講,本篇摘要Huston對該場次的回應和想法,並將重點放在原文的後半部。 閱讀全文 “APNIC文摘—DNS大戰(上)”

DoH可讓使用者拿回隱私權

DNS over HTTPS(DoH)可讓使用者對DNS系統的查詢受到加密保護,免於被追蹤、欺騙或封鎖,這項技術在加強網路隱私和安全性上可說是一大躍進,然而美國主要ISP業者,如Comcast、AT&T和Verizon,卻去函國會若干委員會,力促國會議員停止通過DoH的布署。電子前哨基金會(Electronic Frontier Foundation, EFF)資深法律顧問Ernesto Falcon撰文重申DoH的重要性,本篇就其文章做重點摘要。 閱讀全文 “DoH可讓使用者拿回隱私權”

ICANN OCTO發表文件介紹加密DNS的政策意涵

ICANN首席技術官辦公室(Office of the Chief Technology Officer)發表「加密DNS對本地端和網路政策之意涵」(Local and Internet Policy Implications of Encrypted DNS)文件。該文件介紹加密DNS的兩個主要標準(DoT和DoH),概述當加密安裝到DNS協定中所產生的主要問題,並列出對加密DNS感興趣的利害關係人。

該文件並無對「政策」一詞給予明確定義,它可表示「本地端政策」,如系統管理員給其用戶訂定的規則,也可表示「網路政策」,如對整個網路普遍期望的準則,但絕不表示「ICANN政策」,ICANN在布署加密DNS的立場因尚未獲得該社群認可而尚未確立,但是針對DNS安全和穩固運作方面,ICANN提出以下立場: 閱讀全文 “ICANN OCTO發表文件介紹加密DNS的政策意涵”

APNIC文摘—加密DNS無法阻止竊聽和審查(下)

如上篇所述,研究團隊為加密DNS訊務設計一項新功能,並設定兩種情況來評估其有效性,結果是新功能可以有效地識別來自DoH訊務的網頁。此外,團隊認為審查者不僅要能找到被訪問的頁面,還需盡快找到它,以防止使用者下載內容。對審查者來說最佳的狀況是,列入黑名單頁面的DoH紀錄具有唯一的起始模式,因為這個原因,當通訊開始僅觀察到幾個封包時,團隊會分析DoH紀錄的唯一性。在DNS加密的情況下,審查者必須在準確度和附帶損害之間找到折衷方案,研究顯示,黑名單中不受歡迎的頁面,可以進行精確的審查且附帶損害較低。 閱讀全文 “APNIC文摘—加密DNS無法阻止竊聽和審查(下)”