2018 年 4 月1 日,我们在改进互联网隐私保护和安全防护的道路上迈出了一大步:正式推出 1.1.1.1 公共 DNS 解析器 — 互联网上速度最快并以隐私为先的公共 DNS 解析器。我们真正做到以隐私为先。我们对现状不满,认为采取透明隐私实践的安全 DNS 解析应该是新的常态。因此,我们向公共解析器用户承诺,我们不会保留任何有关使用1.1.1.1 解析器进行的请求的个人数据。我们还内置了技术手段来推动基于 HTTPS 的 DNS,以帮助确保 DNS 查询的安全。我们从不想要知道个人在互联网上做些什么,也会采取技术手段确保我们无从知晓。
我们知道会有人吹毛求疵。许多消费者觉得,如果不花钱购买产品,那么自己就会成为产品。我们认为并不非要如此。因此我们许下诺言,让一家四大会计师事务所对我们的 1.1.1.1 解析器隐私承诺进行审查。
今天,我们很高兴地宣布 1.1.1.1 解析器审查已经完成,我们的合规性页面上现已提供独立会计师报告的副本。
审查过程
从 1.1.1.1 解析器隐私审查中,我们有了一些发现,也得到了一些教训。首先我们发现,当您要求会计师事务所进行我们眼中第一次有关递归解析器自定隐私保护承诺的审查时,达成协议并完成审查所需时间比预想长得多。
我们也发现“隐私设计”(Privacy by Design)是有效的。这并不令我们感到惊讶,我们在所有产品和服务中都遵循“隐私设计”原则。由于我们在构建 1.1.1.1 解析器时已将匿名化最佳实践融入其中,我们能够证明没有任何个人数据可以出售。更具体地说,根据 RFC 6235,我们决定在边缘数据中心截断客户端/源 IP,从而永远不会将 1.1.1.1 解析器用户的完整 IP 地址存储到非易失性存储中。
我们清楚,截断的 IP 地址足以帮助我们了解互联网的总体趋势和流量的来源。另外,我们还将截断的 IP 地址替换成网络编号(ASN)来用于内部日志,进一步改进我们的隐私为先方法。最重要的是,我们承诺仅在有限时间内保留这些匿名日志。这是隐私保护版本的保险柜挂大锁。
最后,我们还发现,通过将 1.1.1.1 解析器审查与我们的 SOC 2 报告相匹配,可以充分表明我们制定了妥善的变更控制程序和审计日志,确认我们的 IP 截断逻辑和有限数据保留期在审查期间发挥了作用。1.1.1.1 解析器审查期间为 2019 年 2 月 1 日到 2019 年 10 月 31 日,这是我们依靠 SOC 2 报告可以追溯的最早时间。
审查的细节
当我们发布 1.1.1.1 解析器时,我们承诺不会跟踪每一位1.1.1.1 解析器用户在网上的搜索活动。审查证实了我们系统的配置已经达成了目标,我们认为那是这一承诺最重要的部分。我们绝不将查询 IP 地址和 DNS 查询一起写入磁盘,所以我们不知道是谁在使用 1.1.1.1 解析器发出了特定的请求。这意味着,我们不会跟踪任何个人访问的网站,也永远不会出售您的个人数据。
我们希望做到完全透明;我们在审查过程中发现,我们的路由器从通过它们的所有请求中随机捕获了 0.05%,包括解析器用户的查询 IP 地址。此操作是与 1.1.1.1 服务处理进入我们网络的所有流量分开进行的,而且我们在有限的时间内保留此类数据,以用于网络故障排除和缓解拒绝服务攻击。
具体来说,如果某一个 IP 地址流经我们某个数据中心许多次,那么它通常与恶意请求或僵尸网络相关联。我们需要保留该信息,以缓解对我们网络的攻击,并且防止我们网络本身被用作攻击媒介。这种有限的数据子样本没有与 1.1.1.1 服务处理的 DNS 查询关联,不会对用户隐私产生任何影响。
我们还承认,在做出关于如何处理 1.1.1.1 解析器请求的非个人身份日志数据的隐私承诺时,当时就这些匿名日志处理方式的声明我们现在看来有些令人困惑。
例如我们发现,我们博客文章关于匿名日志数据保留的承诺不够清晰,我们之前的声明同样不够清楚,因为我们当时指代临时日志、事务日志和持久日志的方式应该可以定义的更好。例如,我们在 1.1.1.1 解析器隐私常见问题解答中指出,我们保留事务日志的时间不会保留超过 24 小时,但某些匿名日志是无限期保留的。然而,我们发布公共解析器的博客文章并没有体现出这种区别。如果需要有关我们匿名日志处理方式的更清晰声明,您可以从下文提到的隐私承诺页面上查阅。
考虑到这一点,我们更新并澄清了 1.1.1.1 解析器的隐私承诺(见下文)。在这些承诺中,最关键的部分保持不变:我们不想知道您在互联网上做些什么,这与我们无关,我们也已采取了技术手段来确保我们无从知晓。
1.1.1.1 公共 DNS 解析器承诺
作为审查工作的一部分,我们完善了对 1.1.1.1 解析器隐私保护的承诺。其性质和意图与我们最初的承诺保持一致。这些更新的承诺包括在审查中:
- Cloudflare 不会将公共解析器用户的个人数据出售或分享给第三方,也不会使用公共解析器的个人数据向任何用户定向投放广告。
- Cloudflare 仅会保留或使用被查询的内容,而不是能识别查询者身份的信息。除了从发送到 Cloudflare 网络基础架构的所有流量中最多抽取 0.05% 随机采样网络数据包之外,Cloudflare 不会将发送至公共解析器的 DNS 查询的源 IP 保留在非易失性存储中(详见下文)。随机采样的数据包仅用于网络故障排除和 DoS 缓解目的。
- 公共解析器用户的 IP 地址(称为客户端或源 IP 地址)不会存储在非易失性存储中。Cloudflare 会通过 IP 截断方法(IPv4 的最后一个八位组和 IPv6 的最后 80 位)匿名化源 IP 地址。Cloudflare 会在 25 小时内删除截断的 IP 地址。
- Cloudflare 仅保留有限的事务和调试日志数据(“公共解析器日志”),以用于我们公共解析器的合法运营和研究目的,并且 Cloudflare 会在 25 小时内删除这些公共解析器日志。
- 除了根据研究合作协议与 APNIC 共享外,Cloudflare 不会与任何第三方共享公共解析器日志。APNIC 仅具备有限的访问权限来查询公共解析器日志中的匿名数据,并开展与 DNS 系统运营有关的研究。
检验隐私承诺
我们之所以创造 1.1.1.1 解析器,是因为我们认识到隐私问题非常严重:ISP、您连接的 WiFi 网络、移动网络提供商以及在互联网上侦听的其他任何人都可以看到您访问的每个站点,以及您使用的每个应用,即便其内容已受到加密。一些 DNS 提供商甚至还出售有关您的互联网活动的数据,或将其用于向您定向投放广告。DNS 还可能被用作一种工具来审查我们通过 Project Galileo 保护的许多团体。
如果您对我们的 1.1.1.1 解析器使用 DNS-over-HTTPS 或 DNS-over-TLS,您的 DNS 查找请求将通过安全通道发送。这意味着,如果您使用 1.1.1.1 解析器,那么除了我们的隐私保障外,还能确保窃听者看不到您的 DNS 请求。我们保证不会查看您在做些什么。
我们坚信,消费者应该会期望服务提供商能够证明他们实际上遵守了其隐私承诺。如果我们能够让独立会计师事务所审查1.1.1.1 解析器隐私承诺,那么其他组织也可以做到。我们鼓励其他提供商仿效此举,并帮助改善全球互联网用户的隐私和透明度。就我们本身而言,我们将继续与受人尊崇的审计机构合作,审核我们的 1.1.1.1 解析器隐私承诺。我们也感激 Mozilla 所做的工作,他们鼓励运营递归解析器的实体采取数据护理实践来保护用户数据隐私。
如需 1.1.1.1 解析器隐私审查的详情以及会计师的观点,请访问 Cloudflare 的合规性页面。
从任何设备访问 https://developers.cloudflare.com/1.1.1.1/,开始使用互联网上速度最快、以隐私为先的 DNS 服务。
另外,根据 Cloudflare 的传统,明天(4 月 1 日)我们会发布新产品。我们两年前推出了 1.1.1.1 这个免费、快速、注重隐私的公共 DNS 解析器。一年前又发布了 WARP,我们用来保护和加快移动设备互联网接入的方法。
明天呢?
届时会有三大变化
一个即将揭开面纱
保护我们家园的安全