GDPR、WHOIS和ICANN:一个地狱组合?

268天前 0人评论 2191人浏览


GDPR可能迫使ICANN隐藏部分WHOIS信息——这是一个问题


5月25日,当GDPR开始生效时,它很可能会给WHOIS数据和ICANN带来一些意想不到的后果。因受到了引用《通用数据保护规范》(GDPR)的域名注册商的压力,ICANN已经提出了一项将会隐藏关键WHOIS数据的过渡计划。


对于那些依赖ICANN的WHOIS数据来追踪网络犯罪分子、维护网络安全的安全专业人员来说,这看起来是一个大问题。


要探讨的问题有很多,因此让我们来看看吧。


什么是ICANN?


互联网名称与数字地址分配机构(ICANN)是一个非营利性的国际组织,负责协调互联网名称空间的维护和流程事宜。简单来说,ICANN能够帮助确保互联网稳定安全运行。


什么是WHOIS?


WHOIS是用来查询域名的IP以及所有者等信息的传输协议。WHOIS注册中心通常包括企业信息,以及域名、IP地址块和其他自治系统。从多方面来看,WHOIS就像是一个互联网电话簿。从出于安全研究的目的到帮助证书机构完全控制域名验证检查,它能够被用于一系列活动。WHOIS能够以一种人类可读的格式存储和交付信息。



WHOIS和GDPR的问题是什么?


一直以来,ICANN和域名注册商行业就在就即将于5月25日生效的GDPR、以及如何使WHOIS和这个新的隐私法规保持一致,展开持续讨论。WHOIS受到威胁是由于它的这样一个本质:它就像是一个电话亭一样,并且还包含注册了给定域名的企业或个人的身份信息(姓名,电子邮件,物理地址,电话号码等等)。


当前,注册商们正在努力争取一个修订流程。当WHOIS与隐私法发生冲突时,这一流程能够明确地告知注册中心/注册商它将采取的行动。虽然有点冗长,但是它能为合规性与法律执行或司法调查共存提供一种可能。从本质上来看,这个流程规定了5大行动,而如果采取这些行动,就能帮助平衡个人的权益和授权调查的需要。


不幸的是,域名注册商正在迫使ICANN完全关闭WHOIS“电话簿”。为回应这一诉求,ICANN提出了一个名为“食谱”的过渡解决方案。食谱将修改电子邮件地址,这从而使得发现谁在管理或控制网络上一个给定的资源变得更加困难了。尽管GDPR没有明确要求它这样做,但是ICANN还提出了混淆企业信息的建议。与在美国不同,在欧洲的企业是不能享受到与个人相同的权益的。


正如在RisklQ的团队就ICANN的过渡解决方案所写到的:


“能够匿名注册域名是一个重大的互联网安全问题——攻击者需要建立一个基础设施来发起攻击,并建立起服务器以与其恶意软件进行通讯。通常,攻击之初,他们会注册多个域名,用于行动的各个阶级。另一方面,安全专业人士会依赖WHOIS协议来查询域名、IP地址或子网的所有者信息。”没有了这些数据,快速关闭钓鱼网站或击破域名主机恶意软件——网络活动的大多数——就会变得极其困难。


正如声明中所说,除其他编辑外,食谱方法也会使人们不可能看到连接在同一管理下的网站。


为什么会发生这种情况?


RisklQ指责注册商应当对此负责:


“如果可以避免的话,任何能够削减安全预算的举措都是很受欢迎的。相比失去生意,或者被报告称有恶意攻击活动,太多的注册商更愿意隐藏域名资产之间的连接性。而现在,GDPR已然成为了达成这一愿望的完美借口,因为当新的法律颁发时,总是会存在模棱两可的地方。如果他们能够利用这种不确定性来使域名系统连接更紧密,更具隐私性,以获取财务上的收益,那么他们肯定会去做的。”


在这一点上,我要稍微讲一下,我并不是在直截了当地指责所有注册商。毕竟,我们的母公司在SSL行业中的运作方式与此相似,如果我们被归为不可信的一类,那么我们不会感到高兴。因此让我们说,部分注册商可能会这样运作,但是其他注册商确实是真正意识到了他们在经营业务过程中所应当承担的责任。


然而,如果注册商找到了方法,就会给互联网的其他方面造成大量问题。迄今为止,ICANN的政府咨询委员会(GAC)已经向其董事会建议,尽可能多地保持WHOIS当前的结构不变。GAC的公共安全工作组则更进一步地贯彻了这一理念,不再恳求ICANN董事会重新考虑它的“食谱”建议。考虑到食谱使接近企业联系人变得不可能,并且在许多例子中,阻碍了企业保护他们自己的基础设施,公共安全工作小组也一再表示,这只是对通用数据保护规范的一个过渡应用。


接下来会发生什么?


在这一情形中,最可怕的情况便是ICANN完全关闭对WHOIS的访问,同时重新设计其电话簿,以满足GDPR合规性要求。


“你不能只是把电话簿合上,然后告诉依赖WHOIS数据来维护互联网安全的安全专业人员,等方案重新设计好后再来,而这可能就是几个月以后了。在无法执行的情况下,ICANN让每个注册商自行决定,他是否以及如何提供持续的访问是完全不能接受的。持续的访问必须是强制性的。”


为了那个目的,RisklQ向ICANN的领导阶层写了一封公开信,呼吁采取能够最大程度保护互联网安全的举措。


我们将持续为您报道这一情况,因为从一定程度上来说,它也是属于SSL行业范畴的。当前,在CAB论坛上,人们正在就是否取消利用WHOIS记录检查的域名验证方式展开辩论。包括Entrust在内的几个证书机构请求给予他们更多的时间,从而使他们可以整合数据,并有可能地提出与此相对的建议,以加强这些验证检查。


不管怎样,WHOIS的未来似乎陷入了不确定之中。我们将持续关注这一情况。

提交
还没有评论,快来抢沙发吧!
相关博客

锐成信息,欢迎您的到来

需要更多的了解以上产品和解决方案,请立即联系我们技术支持团队和业务专家,他们将给您带来专业的建议!

售前
支持
代理
合作
售后
支持