加密域名系统（DNS）的本地和互联网政策含义

前言：ICANN首席技术官办公室（OCTO）近日发表《加密DNS的本地和互联网政策含义（Local and Internet Policy \r\nImplications of Encrypted DNS）》一文，探讨了 DNS over TLS（简称 DoT）和DNS over HTTPS（简称 \r\nDoH）的政策含义。

1. 摘要

自域名系统（DNS）创建以来，DNS流量就在计算机和递归服务器之间以明文形式传输，这意味着该路径上的旁观者可以读取查询请求和响应。最近，一些已经标准化的新技术允许对DNS通信进行加密，使旁观者无法再看到这些信息。这些新技术的部署，尤其是在浏览器中的部署，正在增加。

将加密用于DNS通信具有很多含义，许多不同的论坛都在认真讨论这些含义。为DNS通讯增加隐私可防止窃听者获取有价值的信息，但同时也会阻止网络管理员使用DNS来执行内容、访问和其他的控制策略。最近的讨论表明，加密DNS的部署方式对本地政策的实施具有重大影响。本文档讨论了在最终用户计算机和递归解析器之间针对加密DNS提出的各种部署策略的影响。

 

(图片来源：APNIC)

2. 介绍

本文档首先针对加密DNS的两个主要标准做了简短的技术说明。然后概述了在DNS协议中添加加密后被讨论的主要问题，并列出了大部分的利益相关方。这些问题属于一般意义上的“政策”主题，虽然政策这个术语没有很好的定义。在本文档中，“政策”可以代表“本地政策”，例如系统管理员要施加给其用户的规则，也可以代表“互联网政策”，例如整个互联网普遍期望的准则。但是，对于本文档而言，它并不代表“ICANN政策”，因为ICANN没有关于解析器和权威服务器如何使用加密的社群认可的政策。

本文档没有试图深入讨论所列出的政策问题，因为即使各个利益相关方同意这些问题，他们对这些问题也有不同的看法。许多地方都在讨论这些问题——附录A中列出了其中一些场所。

ICANN社群中的很多个人对加密DNS的话题持有不同的（并且通常是强烈的）观点，但对于哪些立场可能比其他立场更重要，甚至是如何执行已提出的各项政策，还未达成共识。