GDPR可能迫使ICANN隱藏部分WHOIS信息——這是一個問題

5月25日，當GDPR開始生效時，它很可能會給WHOIS數(shù)據(jù)和ICANN帶來一些意想不到的后果。因受到了引用《通用數(shù)據(jù)保護規(guī)范》（GDPR）的域名注冊商的壓力，ICANN已經(jīng)提出了一項將會隱藏關鍵WHOIS數(shù)據(jù)的過渡計劃。

對于那些依賴ICANN的WHOIS數(shù)據(jù)來追蹤網(wǎng)絡犯罪分子、維護網(wǎng)絡安全的安全專業(yè)人員來說，這看起來是一個大問題。

要探討的問題有很多，因此讓我們來看看吧。

什么是ICANN？

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)（ICANN）是一個非營利性的國際組織，負責協(xié)調(diào)互聯(lián)網(wǎng)名稱空間的維護和流程事宜。簡單來說，ICANN能夠幫助確?；ヂ?lián)網(wǎng)穩(wěn)定安全運行。

什么是WHOIS？

WHOIS是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。WHOIS注冊中心通常包括企業(yè)信息，以及域名、IP地址塊和其他自治系統(tǒng)。從多方面來看，WHOIS就像是一個互聯(lián)網(wǎng)電話簿。從出于安全研究的目的到幫助證書機構(gòu)完全控制域名驗證檢查，它能夠被用于一系列活動。WHOIS能夠以一種人類可讀的格式存儲和交付信息。

WHOIS和GDPR的問題是什么？

一直以來，ICANN和域名注冊商行業(yè)就在就即將于5月25日生效的GDPR、以及如何使WHOIS和這個新的隱私法規(guī)保持一致，展開持續(xù)討論。WHOIS受到威脅是由于它的這樣一個本質(zhì)：它就像是一個電話亭一樣，并且還包含注冊了給定域名的企業(yè)或個人的身份信息（姓名，電子郵件，物理地址，電話號碼等等）。

當前，注冊商們正在努力爭取一個修訂流程。當WHOIS與隱私法發(fā)生沖突時，這一流程能夠明確地告知注冊中心/注冊商它將采取的行動。雖然有點冗長，但是它能為合規(guī)性與法律執(zhí)行或司法調(diào)查共存提供一種可能。從本質(zhì)上來看，這個流程規(guī)定了5大行動，而如果采取這些行動，就能幫助平衡個人的權(quán)益和授權(quán)調(diào)查的需要。

不幸的是，域名注冊商正在迫使ICANN完全關閉WHOIS“電話簿”。為回應這一訴求，ICANN提出了一個名為“食譜”的過渡解決方案。食譜將修改電子郵件地址，這從而使得發(fā)現(xiàn)誰在管理或控制網(wǎng)絡上一個給定的資源變得更加困難了。盡管GDPR沒有明確要求它這樣做，但是ICANN還提出了混淆企業(yè)信息的建議。與在美國不同，在歐洲的企業(yè)是不能享受到與個人相同的權(quán)益的。

正如在RisklQ的團隊就ICANN的過渡解決方案所寫到的：

“能夠匿名注冊域名是一個重大的互聯(lián)網(wǎng)安全問題——攻擊者需要建立一個基礎設施來發(fā)起攻擊，并建立起服務器以與其惡意軟件進行通訊。通常，攻擊之初，他們會注冊多個域名，用于行動的各個階級。另一方面，安全專業(yè)人士會依賴WHOIS協(xié)議來查詢域名、IP地址或子網(wǎng)的所有者信息。”沒有了這些數(shù)據(jù)，快速關閉釣魚網(wǎng)站或擊破域名主機惡意軟件——網(wǎng)絡活動的大多數(shù)——就會變得極其困難。

正如聲明中所說，除其他編輯外，食譜方法也會使人們不可能看到連接在同一管理下的網(wǎng)站。

為什么會發(fā)生這種情況？

RisklQ指責注冊商應當對此負責：

“如果可以避免的話，任何能夠削減安全預算的舉措都是很受歡迎的。相比失去生意，或者被報告稱有惡意攻擊活動，太多的注冊商更愿意隱藏域名資產(chǎn)之間的連接性。而現(xiàn)在，GDPR已然成為了達成這一愿望的完美借口，因為當新的法律頒發(fā)時，總是會存在模棱兩可的地方。如果他們能夠利用這種不確定性來使域名系統(tǒng)連接更緊密，更具隱私性，以獲取財務上的收益，那么他們肯定會去做的。”

在這一點上，我要稍微講一下，我并不是在直截了當?shù)刂肛熕凶陨?。畢竟，我們的母公司在SSL行業(yè)中的運作方式與此相似，如果我們被歸為不可信的一類，那么我們不會感到高興。因此讓我們說，部分注冊商可能會這樣運作，但是其他注冊商確實是真正意識到了他們在經(jīng)營業(yè)務過程中所應當承擔的責任。

然而，如果注冊商找到了方法，就會給互聯(lián)網(wǎng)的其他方面造成大量問題。迄今為止，ICANN的政府咨詢委員會（GAC）已經(jīng)向其董事會建議，盡可能多地保持WHOIS當前的結(jié)構(gòu)不變。GAC的公共安全工作組則更進一步地貫徹了這一理念，不再懇求ICANN董事會重新考慮它的“食譜”建議?？紤]到食譜使接近企業(yè)聯(lián)系人變得不可能，并且在許多例子中，阻礙了企業(yè)保護他們自己的基礎設施，公共安全工作小組也一再表示，這只是對通用數(shù)據(jù)保護規(guī)范的一個過渡應用。

接下來會發(fā)生什么？

在這一情形中，最可怕的情況便是ICANN完全關閉對WHOIS的訪問，同時重新設計其電話簿，以滿足GDPR合規(guī)性要求。

“你不能只是把電話簿合上，然后告訴依賴WHOIS數(shù)據(jù)來維護互聯(lián)網(wǎng)安全的安全專業(yè)人員，等方案重新設計好后再來，而這可能就是幾個月以后了。在無法執(zhí)行的情況下，ICANN讓每個注冊商自行決定，他是否以及如何提供持續(xù)的訪問是完全不能接受的。持續(xù)的訪問必須是強制性的?！?/p>

為了那個目的，RisklQ向ICANN的領導階層寫了一封公開信，呼吁采取能夠最大程度保護互聯(lián)網(wǎng)安全的舉措。

我們將持續(xù)為您報道這一情況，因為從一定程度上來說，它也是屬于SSL行業(yè)范疇的。當前，在CAB論壇上，人們正在就是否取消利用WHOIS記錄檢查的域名驗證方式展開辯論。包括Entrust在內(nèi)的幾個證書機構(gòu)請求給予他們更多的時間，從而使他們可以整合數(shù)據(jù)，并有可能地提出與此相對的建議，以加強這些驗證檢查。

不管怎樣，WHOIS的未來似乎陷入了不確定之中。我們將持續(xù)關注這一情況。