你对你注册并缴费的域名真的拥有管理权吗?可能大多数人的答案是错的。大多数企业和机构对自己注册的域名,只有使用权,并没有完全的管理权。
近日,互联网域名系统国家工程研究中心(ZDNS)收到一封律师函,要求将相关域名予以变更注册机构并转移解析指向。在函件所附的一百多个域名名单中,赫然有阿里云的核心域名(aliyuncs.com)。这不得不让人联想起来近期引起广泛关注的阿里云核心域名断网事件。这一事件的背后原因似乎已浮出水面——若对自己的域名没有完整或可靠的管理权,即使拥有再先进的技术、设备、系统,也始终处于被动之地。
为了避免更多机构因此遭受损失,ZDNS在此披露部分调研结果,提醒域名注册用户应加强域名管理风险防范。
本文对部分敏感信息进行了去标识化处理。
2025年6月4日,互联网域名系统国家工程研究中心(ZDNS)作为顶级域名管理机构和某顶级域名技术托管方,收到一封由律所代表美国G公司发送的律师函邮件。大致内容为:G公司向美国当地法院提起诉讼,请求发起禁令并采取措施阻止“BadBox2.0”僵尸网络,并称其因此在一年内蒙受超过5000美元损失。BadBox2.0是一款恶意软件,在全球范围内感染了数以百万计的物联网设备,形成了一个庞大的僵尸网络,被网络犯罪分子用于各类恶意活动。
律师函列举了存在风险的域名及域名注册服务机构。为阻断BadBox2.0蔓延,要求域名注册服务机构和/或域名注册管理机构,在不得联系或通知注册人的情况下采取以下行动:对律师函件所列出的域名,予以变更域名注册服务机构,并把域名指到特定网站……
律师函所列出的风险域名有158个,域名注册服务机构有12家,其中包括了阿里云核心域名aliyuncs.com。
6月6日凌晨,阿里云核心业务域名aliyuncs.com发生解析异常。该域名的注册服务机构被直接变更为RoLR,域名被指向到了shadowserver域名服务器。可见,aliyuncs.com很可能是在阿里云不知情的情况下,被域名注册管理机构“停服”。
阿里云被“停服”时的域名WHOIS查询信息
根据公开资料,RoLR是ICANN批复的域名注册服务机构,专门接收各国各个执法机构、安全机构执法的滥用域名;Shadowserver是一家成立于美国的国际非营利安全组织。
因缺乏域名管理权可能导致几大风险
根据ICANN(互联网名称与数字地址分配机构)协议授权,域名注册管理机构(Registry)负责管理和维护某一顶级域名(Top-Level Domain, TLD)的权威数据库;域名注册服务机构(Registrar,通常称“注册商”)面向用户提供域名注册服务。ICANN协议约定,域名注册管理机构和域名注册服务机构有义务配合司法机关或仲裁机构执行涉及域名的裁决指令(如冻结、转移或注销)。
这意味着,尽管域名注册用户(Registrant)享有域名的使用权,其管理权限实际受限于域名注册管理机构和域名注册服务机构,二者通过技术系统掌握域名的最终指向控制权。域名注册用户,因缺乏域名管理权,可能导致以下几大风险:
第一,可能因连带责任被“停服”。国内云服务厂商在其主域名下,向全球用户提供服务,可能会被黑客组织或不法分子使用其产品和服务从事违法活动,触犯他国法律,被涉及连带责任导致主域名被“停服”。同样,国内的社交、视频、电子商务、网络银行等互联网服务平台,也存在连带风险。
第二,联合网络安全治理,或导致“停服”。此次相关法律文件中,明确提出域名停服的流程,可见,为阻止因网络风险蔓延对原告的损失,国际上司法界通过域名注册管理机构和域名注册服务机构对域名停服,已经成为国际上处理网络安全问题的通用手段,我国要对此类问题高度重视。法律界、技术机构、公司的联合治理行为,使我国机构注册的域名停服风险加大。
第三,无申诉期被动“停服”。本次律师函所引用的法律文书属于美国联邦法院签发的紧急临时限制令(TRO)。根据美国民事诉讼规则,当原告证明存在紧迫的、不可挽回损害的风险,且无充分时间通知被告时,法院可单方签发TRO,未赋予域名注册者抗辩机会。域名注册管理机构、域名注册服务机构在此次事件中的作为技术执行方履行强制性配合义务。这对我国机构的直接风险是——还没有机会进行申诉,域名就可能已被停服。
我国企业、机构须体系化构建韧性DNS
我国企业、机构和社会亟待增强面对网络风险时预防、抵御、适用与恢复的综合能力,包括域名注册管理和域名解析环节:在域名注册管理上,要获取全球统一分配的关键资源,掌握域名注册管理权;在域名注册和解析环节,要体系化构建韧性DNS,当网络资源遭遇打击、攻击或破坏时,域名使用者具备预测、可控、恢复和适应的能力。具体建议如下:
1.我国关键信息基础设施运营者和互联网平台公司需要高度重视因域名管理权被停服的风险:我国很多互联网平台为全球用户提供服务,因某种原因可能触发当地法律风险从而导致被停服。我国互联网平台企业、我国出海企业要高度重视域名停服风险。
2.注册和使用我国管理的二级域名,降低被停服风险:重要机构应该注册和使用国家顶级域名.CN之下的二级域名,或由我国掌握的其他顶级域名之下的二级域名,通过本地化的沟通机制,更好地保护我国企业数字空间权利。
3.把握全球第二轮顶级域名开放机会,申请顶级域名,成为域名注册管理机构,掌握域名管理主动权:鼓励对自身域名安全重视程度高的我国企业、机构,把握即将于2026年4月开放的顶级域名申请机遇,把自己的二级域名升级成为顶级域名。
4.建立完备的域名停服应急响应和申诉处理机制:域名注册在境外域名注册管理机构之下的我国企业,建议尽快与域名注册管理机构建立通知应急响应机制、建立申诉流程,便于及时对风险做出反应,为域名处置争取时间。
5.建立备用体系和迁移机制:域名注册在境外域名注册管理机构之下的我国重要机构,应当建立备用体系和迁移机制,一旦发生不可控的停服风险,可以将线上业务迅速迁移,保障自身业务安全。
6.以领先技术构建韧性DNS:打造全网管控监测、动态域名解析、灾备逃生、缓存刷新、快速恢复、自主域名注册的体系化解决方案,构建自主可控、全面领先的韧性DNS。
扩展阅读:
1 什么是品牌顶级域名?
品牌顶级域名(Brand Generic Top-Level Domain, gTLD) 是经ICANN授权、由企业以其品牌名称(如 .citic、.中信) 专属运营的顶级域名后缀。其核心价值在于:
自主掌控:在品牌顶级域名下,企业可自主创建、自由分配和自行管理二级域名。直接接受ICANN和工信部的管理及授权,拥有争议处理的直接通道,提升自身话语权。
品牌升级:顶级域名与全球顶级品牌身份深度绑定,有助于中国企业提升品牌国际辨识度、强化全球影响力,增强全球市场竞争力。
品牌保护:顶级域名遵循先到先得原则,具有唯一性,一旦品牌词被抢注,不仅面临品牌混淆风险、维权成本激增等风险,还可能无法补救、无法回购。
资源抢占:顶级域名是互联网上具有唯一性的重要资源,可以通过顶级域名独有的资源基础,在互联网上布局全球各类业务,增强全球服务连接。
2 域名注册管理机构和域名注册服务机构的区别是什么?
域名注册管理机构:负责运行管理域名系统、维护数据库、制定政策规则,授权注册服务机构并监管域名合规;
域名注册服务机构:受理用户注册申请,提供注册、续费等服务,在域名注册管理机构的授权下审核信息。
声明:本文来自域名国家工程研究中心 ZDNS,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
