在继续我们的域名注册管理良好实践系列(您可在此处阅读第一篇博文)之际,我想发表一些对大型组织域名注册实践的见解。一般而言,这些组织表现出了积极的特点:它们为 WHOIS 联系人提供了有效的电子邮件地址,配置弹性的域名解析服务并采用 EPP 状态编码缓解域名劫持风险。
为了缓解域名遭滥用或利用的风险,许多组织和政府实体会遵循各种域名注册实践和建议行事,比如 ICANN 安全与稳定咨询委员会 (SSAC) 发布的 SAC044 和 SAC040 等文件所列各项。
不过,也可以这样说,某些风险可能没有相应的缓解措施。组织应认清其域名所面临的风险,并调整现有注册实践,为自身业务提供更安全的环境,并为客户提供更安全稳定的网上体验。我们鼓励组织定期审核域名注册,并将域名和整个 DNS 管理纳入其风险管理计划中。
在本博文中,我们将谈及关于正确确定实际注册人和管理联系人的良好实践。
谁是实际注册人?
每个域名均根据注册人与所属注册服务机构签订的注册协议进行注册。在本截图中,您可看见两个识别注册人的字段(正如域名 icann.org 的 WHOIS 输出中所列)。
就企业注册而言,如果"Registrant Organization"(注册人组织)字段列明现有法人实体的名称,则该法人实体将视为域名的注册人。不过,当"Registrant Organization"(注册人组织)字段为空时,或当字段所列名称未对应实际法人实体(例如,像"Domain Admin")时,实际注册人将为"RegistrantName"(注册人名称)字段所列者。
有时,当员工为其雇主注册域名但未在对应字段中填入恰当信息时,就会发生此种情况。他们可能会将"Registrant Organization"(注册人组织)留空,或在"Registrant Name"(注册人名称)字段中填入其部门名称和他们自己的姓名,从而将他们自己变成公司域名的实际注册人。在这些情况中,组织面临员工争夺注册的风险,即员工能以某组织并非注册服务机构与注册人所签协议的一方为依据,索取域名权利并尝试对其进行转移。
考虑到这一风险,良好实践是:组织应确保其法定名称列于"Registrant Organization"(注册人组织)字段中,且角色相关或部门相关名称列于"Registrant Name"(注册人名称)字段。
第三方注册人或管理联系人。
另一方面,在此我要明确指出这并不构成法律意见(在起草或审核合同时您应始终征询恰当的法律意见):组织有时允许将第三方(比如托管服务提供商、网络开发者或律师事务所)列为其域名的注册人。此举通常不被视为良好实践。当组织外包域名资产管理业务时,最好仍将自己列为域名注册人,不论资产管理者是否被列为域名的管理、技术或付款联系人。
允许第三方成为组织域名的注册人意味着组织将不是登记在册的注册人。这可能会使第三方否认注册,将域名转移至另一注册服务机构,并使组织和其员工、客户和业务合作伙伴无法使用域名,而这一情况至少要持续到组织聘请法律顾问,支付法律费用,并启动相应的行政程序(比如 UDRP 或 URS)或适当司法辖区的司法程序后。但即使在采取了所有措施后,也无法保证组织真的能胜诉。
现在,谈谈将资产管理者列为管理或技术联系人,一个良好实践是在组织与该第三方之间订立(单独的)合约关系(记得,这不过是良好实践的描述,并非法律意见)。从技术和安全运营的角度来看,良好实践是在合同中纳入给予域名管理权限的条文,举例而言,此权限包括能够依照组织指示将域名转移至另一注册服务机构,为域名续期或允许域名过期,更改域名服务器记录,设置域名状态或更改联系人数据。该合同还可指明管理或技术联系人在何种情况下可以或有义务修改域名注册或运营的任何方面。
此良好实践包括在该协议中添加相关条文以规定管理和技术联系人为保护组织域名而应实施或执行的运营措施,包括可恰当应对安全事件(比如针对域名的名称服务器的分布式拒绝服务攻击、导致内容在未经注册人授权的情况下被托管的服务器入侵、子域的未经授权创建,甚至区记录的未经授权修改或添加)的措施。举例而言,这些运营措施可包括向相应的注册服务机构或恰当司法辖区的执法机构提交报告。最后,与所有合同一样,该合同还可针对身为管理或技术联系人的相关方违反其域名管理义务的情况规定制裁措施。
再次重申,此部分不构成法律意见,因此在从技术、运营和合约角度考虑落实这些良好实践的方法时,请自行征询恰当的法律意见。
在日后的博文中,我们将谈及如下方面的良好实践:EPP 状态编码(什么是 EPP 状态编码?)、名称服务器,管理域名注册时应考虑的其他方面。
