ICANN OCTO發表文件介紹加密DNS的政策意涵

ICANN首席技術官辦公室(Office of the Chief Technology Officer)發表「加密DNS對本地端和網路政策之意涵」(Local and Internet Policy Implications of Encrypted DNS)文件。該文件介紹加密DNS的兩個主要標準(DoT和DoH),概述當加密安裝到DNS協定中所產生的主要問題,並列出對加密DNS感興趣的利害關係人。

該文件並無對「政策」一詞給予明確定義,它可表示「本地端政策」,如系統管理員給其用戶訂定的規則,也可表示「網路政策」,如對整個網路普遍期望的準則,但絕不表示「ICANN政策」,ICANN在布署加密DNS的立場因尚未獲得該社群認可而尚未確立,但是針對DNS安全和穩固運作方面,ICANN提出以下立場:

  • 保護隱私:考量有關竊聽路徑上訊務的風險,將電腦和解析器間的通訊加密應該是一個好的實踐。
  • 並非所有DNS過濾都是不好的:DNS過濾可以是有助益的工具,特別是在減少與網路釣魚、散布惡意軟體、垃圾郵件和濫用域名相關的風險上,但是,多數的情況下,應該在被影響的人員知情和接受(例如在網路營運商的服務條款上註明)的前提下進行。
  • 應用程式的資訊不足:應用程式通常沒有足夠的資訊做出網路控制(network control)決策,因此重要的是,在做出可能與網路控制決策相牴觸的決定前,應用程式能獲得足夠的資訊。
  • DNS數據應受到保護:如文件中所述,DNS加密是保護電腦和遞迴解析器之間的通訊,並不保護從遞迴解析器到權威伺服器的數據,也不保護存在於遞迴解析器中的數據。為了保護DNS數據,最好在遞迴解析器和電腦中布署DNSSEC驗證。

欲了解完整的文件內容,請參考此連結

參考資料:

Paul Hoffman. Local and Internet Policy Implications of Encrypted DNS. ICANN

Scroll to Top