域名 WHOIS 信息查询或迎来巨变？！

新网3月14日消息，互联网资源管理机构icann2018年第一次会议,本周在波多黎各召开.重头戏是icann社群如何能在5/25之前,搞定欧盟gdpr政策,对域名注册人信息揭露(简称whois)方式在商业,合规以及技术层面的影响.

gdpr是欧盟针对个人隐私所制定的法案,严格规定全球企业只要发生收集或处理欧洲个人信息时,必须有一套高标准的保护与揭露方案,不合规者欧盟将处以高达两千万欧元(或企业全球年营业额4%)的罚款.

域名whois的下一步

预料whois的公布方式,将遮盖域名注册人的电邮,街道地址等字段.对于需要看到完整whois内容的单位,如各国公安,律师,互联网安全服务业者,icann将公布一个认证计划(certificationprogram).只有通过认证计划的单位能获得完整whois数据.

互联网安全黑暗期

前述的认证计划,势必无法于5/25成形,许多非欧盟利益团体,包含美国政府,互联网安全业者,网络品牌保护业者(如brandma中域国际),认为这将导致权益所有者,丧失了有效追踪与联系相关侵权人或犯罪嫌疑人,导致维权工作更加困难.

营运与合规风险

icann并没有说清楚其签约方(注册局registry和注册商registrar)要怎么与认证计划中的clearinghouse对接,更没有任何技术方面的讨论或文档.icann建议注册商使用匿名邮件或在线窗体,作为处理一般公众对whois信息请求的方式,这将大幅提高的注册商的营运与合规风险,譬如:1)零售型注册商如何处理一天可能上百万次的请求?2)注册商如何衡量请求者的理由是否正当(legitimatepurpose),并合乎icann合规组的要求?

搞定了欧盟,接下来呢?

中国,印度,日本,俄罗斯,还有欧盟会员国各自的内规,基本上是连环引爆的状态.

gtldvs.cctld

欧洲的cctld都受到gdpr规范,但不受icann限制.德国的denic(.de)已率先把公众whois关了,而且大部份的欧洲cctld早已不揭露注册人电邮.欧洲的gtld受icann以及gdpr双重规范,新规可能导致gtld原来统一的whois格式因地而异.对于欧洲的域名注册商,可能反而因为新规,变成全球网络犯罪者的避风港.

为whois哥集气

在互联网域名世界里,whois哥好比是一个二十岁的多病老人,icann想医治,想升级,却一直没下定决心.gdpr没让whois哥一了白了,反而变成了加重病情的桥段.连icannceo马跃然在周一的gdpr专题会上都开了个玩笑,说gdpr是一只不针对icann/whois,但还是发病的病毒。