欧盟可能很快就会拥有自己的 DNS(域名系统)解析器。
“DNS4EU”倡议旨在创建一个“欧洲 DNS 解析服务基础设施,为需要隐私友好和安全 DNS 解析以访问在线资源的欧盟互联网用户提供服务”。
为选择未来这项服务的运营商,欧盟委员会在 1 月份发布了提案征集,截止日期已延长至 4 月 20 日。选定的提供商将在 2022 年下半年公布。随着欧洲网络安全战略的公布,欧盟于 2020 年首次提及 DNS4EU 倡议。该项目的加速是在欧洲采取措施增加其数字主权并减少对外国参与者的依赖之际。法国在担任欧洲轮值主席国期间再次强调了这一目标,将主权和数字监管列为主要优先事项。
为什么欧盟委员会想要建立自己的解析器,而不是仅仅改变其政策或规则?
这样的政策变化可能过于复杂,因为互联网是没有国界的。即使 EC 旨在将规则应用于欧洲,它最终也会针对世界上所有的 DNS 服务。此外,如果它试图将规则应用于欧盟的每一家公司,它们将不适用于世界上最大的商业参与者,如谷歌和 Cloudflare,甚至是总部位于瑞士的 Quad9。
通过要求一系列安全和隐私功能,欧盟旨在保护未来解析器的用户。在这方面,DNS4EU 有别于商业方和互联网服务提供商。以谷歌的公共 DNS 服务为例,它声称对保护用户的作用很小,并声称自己是一个中立的渠道。这与通常针对大型企业的商业 DNS 解析器不同。
他们做了很多工作来保护用户免受恶意软件和网络钓鱼网站的侵害。公共解析器通常会避开它。对于他们自己使用或管理的 DNS 解析器,互联网服务提供商也持同样的态度。虽然他们是商业公司,但他们也喜欢把自己看作是提供某种保证信息中立传输的效用函数。这是保护自己免受法律诉讼的一种方式。
另外,如果网民可以选择使用谷歌的DNS解析器,后者总有为所欲为的可能。谷歌并不是出于好意而免费提供它;它提供此服务是为了获取数据。因此,互联网服务提供商可以从他们可以依赖的新公共DNS 服务中受益。
新解析器有哪些要求,谁可以满足这些要求?
在接下来的几周内,应该知道哪些公司有资格构建解析器。它不太可能是一家雄心勃勃的小型初创企业。与此同时,欧洲愿意为该项目拨出的资金也很少。根据提案征集,只有 1400 万欧元的单笔资金可用于建设该项目。
EC 已为该项目制定了一份要求清单:
主权和隐私
数字主权是法国技术领域的一个众所周知的主题,被纳入欧盟计划。所有 DNS 解析数据和元数据都必须在欧盟进行处理。然而,提案征集没有提及潜在供应商的国籍,这意味着虽然处理这些数据的数据中心必须在欧洲,但被选中的公司总部可以在世界任何地方。
当然,DNS4EU 解析器必须符合 GDPR。在适用的情况下,它还必须遵守各国的国家数据保护和隐私规则。在法国,这些包括数据保护法。
基础设施
为了满足广泛的地理覆盖、高可靠性和低延迟的要求,供应商需要大量的服务器,以便在性能和容量方面与谷歌或 Cloudflare 等服务竞争。当然,服务器应该只覆盖欧洲。然而,该项目将需要法国、比荷卢经济联盟、斯堪的纳维亚半岛、西班牙的服务器……这主要是由于延迟;挪威的用户使用西班牙的服务器很快就会遇到连接速度慢的问题。稳定性和冗余也很重要。通过保护它们,可以使服务器脱机进行维护而不会导致服务中断。因此,只有一家公司已经拥有DNS 解析器需要其他几种需要大量维护的技术。例如,提供商必须具有良好的 Anycast 基础架构,以便用户始终可以使用相同的 IP 地址。水平扩展的能力也很重要。
网络安全
EC 强调所选基础设施需要满足所有最新的安全和隐私标准。例如,它必须符合最新的安全标准,如 HTTPS、DNSSEC 和 DNS 加密协议,如 DNS over TLS (DoT) 和 DNS over HTTPS (DoH)。该项目还必须完全符合最新版本的通信协议 IPv6。
该项目还必须针对恶意软件、网络钓鱼和其他威胁提供行业领先的保护。为此,供应商需要分析自己的威胁情报以及来自计算机应急响应小组 (CERT) 等可信赖合作伙伴的信息。这些专家组分析威胁,提醒公众注意新威胁,并协调对网络攻击的响应。
例如,法国政府的 CERT,CERT-FR,定期发布有关漏洞、威胁、安全事件、危害指标和保护建议的警报。未来的 DNS4EU 运营商将与政府和私人 CERT 合作,后者将向其发送恶意软件命令和控制服务器的 DNS 记录。这将允许提供商在 DNS 级别阻止恶意软件,这对用户来说是一项有益的措施。
内容过滤器
欧盟提案征集的标准之一是需要过滤链接到非法内容的 URL。但是,关于什么内容被认为是“合法”或“非法”,存在很大的灰色地带。当然,当涉及到命令和控制服务器时,很明显每个人都希望阻止这些站点,但一些安全研究人员除外。但除此之外,对象很快进入了这个模棱两可的区域。
如果有人在网上发布关于如何制造炸弹的手册怎么办?煽动性文字呢?色情?赌博内容?因此,正如计划中目前所预见的那样,任何解析器的使用都是自愿的,这一点很重要。此外,需要对这种过滤器的含义进行明确的定义,以便提前明确策略。
事实上,解析器的可选特性是主动性的关键。但未来欧洲解析器的使用范围还有待观察。Afnic 的计算机科学家 Stéphane Bortzmeyer 在接受德国媒体 Heise 采访时对未来 DNS4EU 解析器的用户采用情况感到疑惑。他指出,许多用户仍然使用他们自己的 DNS 解析器或他们的 ISP 的解析器,并强调更分散和本地解析器的相对安全性。欧洲机构内部对数字主题的长期思考正在具体化为倡议。
虽然有关数字市场 (DMA) 的立法正在迅速发展,但欧盟似乎试图为其成员确立一种不同于此前盛行的数字经济和数据隐私 (GDPR) 愿景。DNS4EU 倡议是这一愿望的一部分,旨在为需要它的人提供符合这一愿景的基本服务,同时为欧盟提供加强其数字主权和网络安全的工具。