CENTR是負責歐洲頂級域名(如.si和.eu)註冊的機構,它對歐盟委員會發表的DNS濫用研究發表了一篇評論(完整評論pdf),指出對於研究中的誤導性分析與結論感到遺憾。
CENTR認為保持網路上域名的低濫用率,是確保網路終端用戶安全的重要且可靠的因素。它鼓勵歐盟委員會對其所發表的「域名系統(DNS)濫用研究」(後簡稱為研究)著重於分析DNS濫用範圍、影響和程度為目標,並積極與利害關係人訪談作為研究的基礎。
儘管研究是出於良好的動機,但最終報告和附加文件存在不一致的內容,許多建議沒有明確的證據或可驗證的研究結果,且研究最終的結論是歐洲的國家和地區頂級域名(country code top-level domain,ccTLD)是「至今為止最少被濫用的」,但對於DNS服務供應商、域名註冊機構和受理註冊機構的問題,該研究僅以一種「一體適用」方法來解決,嚴重忽略了歐洲的國家和地區頂級域名現有的良好做法。
此外,研究在討論如何減少濫用DNS時,對於濫用DNS的定義並沒有考慮到不同的服務供應商與網路生態系統中其餘類型的利害關係人。因此,CENTR認為該研究對於DNS濫用問題和解決方法提供了一個相對扭曲的觀點與結論。
由於本評論的目的是指導歐盟政策進一步的發展,CENTR呼籲政策制定者在閱讀本評論時應謹慎。以下是CENTR主要觀點的摘要。
CENTR評論重點:
- CENTR成員認為,在網路上保持域名低濫用率是保障終端用戶在其服務區域內的信任和安全的重要因素。
- CENTR成員對此DNS濫用研究認可歐洲國家和地區頂級域名的許多做法感到開心,這些做法有助於降低其管理的國家和地區頂級域名的濫用程度。
- DNS濫用研究提出的DNS濫用定義包括所有常見的網路犯罪,所以緩解和預防方法應該也要包括所有維護和使用DNS的角色。
- DNS濫用研究所提出的建議,沒有充分考慮網路基礎設施(如DNS)的重要性,以及網路上不同營運商的角色和責任。
- DNS濫用研究中,用來評估DNS濫用程度的來源資料無法驗證,而且沒有針對域名管理機構和受理註冊機構可用的方法進行優化。
- 在歐盟律法中關於「濫用」沒有具體的基礎,DNS濫用研究很常忽略依接近內容的程度及比例原則對中介機構的責任進行認定。
- DNS濫用研究忽視了國家和地區頂級域名和通用頂級域名(Generic top-level domain,gTLD)在管理方面的區別,採用「一體適用」的方法對ccTLD與gTLD進行了不連貫的分析,其研究結果發現ccTLD被濫用的情況較低。但是,只針對ccTLD採用的政策措施對減少DNS濫用的效果很有限。
- 儘管在ccTLD中沒有濫用的跡象,但採用一致的「認識你的商業顧客」(Know-Your-Business-Customer,KYBC)做法是不合理的,忽視了現有資料的準確性。
- 採用統一方法存取國家和地區頂級域名的完整註冊資料的建議忽視了歐盟資料保護框架以及資料保護局在ICANN社群討論中提出的建議。
- DNS濫用研究建議發布DNS根區域文件資料,但沒有評估這可能會對DNS的穩定和安全性與客戶機密性資料帶來的負面後果,。
相關連結:
Lydia Pernal-Stoddart(2022). CENTR publishes comment on the European Commission’s DNS Abuse Study. CENTR.
檢自:
https://www.centr.org/news/news/comment-dns-abuse-study.html (Apr. 11, 2022)
