Registration Directory Service soll Whois ablösen…irgenwann

Die Whois-Abfrage für Domainnamen ist eine praktische Sache, um herauszufinden, wer der Nutzer des Domainnames ist. Aber das System hat deutliche Schwächen und gilt inzwischen als überholt. Die zuständige ICANN (siehe goneo Glossar) brütet an einem Nachfolgesystem namens RDS (Registration Directory Service).

Die Whois-Abfrage im Domain Name System ist in die Jahre gekommen. Die Hauptkritikpunkte sind:

  • Jeder kann nach Daten suchen und erhält unter Umständen sensible Daten, gerade von Privatpersonen, die eine Domain für E-Mailzwecke oder ein Blog registriert haben. In den Inhaberdaten soll, so sehen es die deutschen Regularien vor, eine „ladungsfähige Adresse“ hinterlegt werden. Derjenige, der anfragt, ist hingegen anonym.
  • Die hinterlegten Angaben sind allzu oft einfach falsch. Zwar ist die Registry, über die eine Domain registriert wird berechtigt, den Nutzungsvertrag zu kündigen, wenn die Inhaberangaben nicht stimmen. Dafür gibt es auch schon einige Kontrollprozesse auf E-Mail-Basis. Allerdings gibt es keine besonders gründliche Verifizierung dieser Angaben. In der Praxis läuft es einfach so, dass über ein Unternehmen, beispielsweise über einen Internetzugangsprovider, eine Registrierung vorgenommen wird, wobei dieses Unternehmen die Daten des künftigen Inhabers einholt und an die Registrierstelle weitergibt. Ob diese, insbesondere die Adressen und Namen tatsächlich stimmen, wird selten eingehend geprüft. Natürlich möchte das Mitgliedsunternehmen dem künftigen Nutzer des Domainnamens eine Rechnung schicken, doch derjenige, der bezahlt, muss nicht der Nutzer der Domain sein.

Eigentlich ist das System der Whois-Abfrage auch dazu gedacht, Angelegenheiten, die in Zusammenhang mit dem Domainnamen stehen, regeln zu können. Dazu muss der Nutzer des Domainnamens kontaktiert werden können. Dies sind nicht selten rechtliche Angelegenheiten wie Streitereien um das Marken- und Namensrecht oder angebliche Verstöße auf der mit der Domain verbundenen Website (obwohl da auch ein Impressum stehen soll).

Der Umstand, dass die Angaben im Whois-System so wenig valide sind, begünstigt zum Beispiel auch Betrüger, die Fake-Shops erstellen. Über Whois-Angaben wird man denjenigen, der den Fake-Shop betreibt, nicht habhaft werden können, denn für solche Zwecke werden falsche Daten in den Whois-Angaben hinterlegt.

Es existieren heute schon viele Anonymisierungsdienste, mit denen Domaininhaber ihre Angaben einer Veröffentlichung über eine Whois-Abfrage entziehen. Statt dessen werden die Treudhanddienste als Inhaber eingetragen. Wer Auskunft begehrt, muss sich also zunächst an diese wenden. Wenn eine Einzelperson mit Name und Adresse hinterlegt ist, ist dies nicht immer vorteilhaft. Von Datenschutz keine Spur.

In Zukunft soll ein neuer Dienst namens Next Generation Registration Directory Service (RDS) die herkömmliche Whois-Abfrage ablösen. Wie das neue System funktionieren soll, ist in einem ausführlichen Bericht hinterlegt, den eine von der ICANN eingesetzte Expertengruppe verfasst hat. Das Dokument ist online einsehbar (PDF) und bezieht sich auf die globalen Top Level Domains (gTLD), also etwa „com“, „net“, „org“, „biz“ und auf die neuen globalen Domains wie „tech“. Wie die Registrierstellen der einzelnen Länder damit umgehen sollen, geht aus diesem Dokument nicht hervor.

Wesentliche Neuerungen konzentrieren sich auf die Vertraulichkeit der Angaben in den Registrierdatenbanken und auf eine gewisse Gleichförmigkeit. Bisher gibt es doch einige Unterschiede zwischen gTLD und gTLD wie die Registrierdaten hinterlegt sind und welche überhaupt als verbindlich angesehen werden.

Unterschiedliche Inhalte bekommen im RDS einen unterschiedlichen Vertraulichkeitsgrad zugewiesen, so dass nicht jeder alle Daten jederzeit abrufen kann. Einige Informationen sind offen für alle zugänglich, schon deswegen, weil das technisch notwendig ist, andere werden zu „Gated Registrant-supplied data“, wobei einzelne Einträge per Opt-in beziehunsgweise Opt-out öffentlich zugänglich gemacht werden können oder eben nicht.

RDS soll Nachfolger für das Whois-System werden

Künftig unterliegen Daten, die heute per Whois-Abfrage allgemein zugänglich sind unterschiedlichen Vertraulichkeitsgraden und sind so besser geschützt . Wann das neue System RDS eingeführt wird, ist aber noch offen. (Grafik: ICANN, Final Report from the Expert Working Group on gTLD Directory Services, Juni 2014)

Neu sind die „Purpose-baded Contacts“, die in den Daten hinterlegt werden: Für unterschiedliche Kontaktzwecke werden mehr als bisher unterschiedliche Kontaktpersonen benannt. Einträge für Admin-, Technical-, Abuse-, Legal-, Business- und sogenannte Proxy-Kontakte sollen verbindlich werden, letztere insbesondere für Domainnamen, die über Provider registriert werden. Als Minimum an Informationen, die öffentlich zugänglich sein sollen, gelten: Domainname, DNS Server, Domaininhaber-Typus, Inhaber-Kontakt-ID, Inhaber-E-Mailadresse, Tech-Contact-ID, Admin-Contact- ID, Legal-Contact-ID, Abuse-Contact-ID,  Privacy/Proxy-Provider-Contact-ID (verbindlich, wenn es sich um eine Registrierung durch einen Privacy/Proxy Provider handelt) und Business Contact ID (verbindlich, wenn eine juristische person Mandatory der Domaininhaber ist). Es werden also IDs hinterlegt, nicht immer die komplette Zeichenkette mit Straßenname, Hausnummer und Postleitzahl. Die IDs bestehen aus E-Mailadressen, zumindest ist dies so in den Beispielen des Dokuments gezeigt. Kontaktmanagement wird vom eigentlichen Domainmanagement getrennt.

Es soll eine Standardvalidierung der Daten eingeführt werden. So soll es eine „operationale Validierung“ geben, die dann zum Tragen kommt, wenn ein und derselbe Inhaber zum Beispiel mehrere Domainnamen registriert hat oder ein Proxy (ein Provider) viele Domainnamen registriert. So sollen Daten abgeglichen werden, was für eine höhere Datenqualität sorgen soll. Außerdem, so steht es als Empfehlung in dem Papier, soll die Datensammlung über „Validatoren“, die heute allerdings noch nicht existieren, geschehen.

Offen ist jedoch, wer unter welchen Umständen auf welche Domaindaten zugreifen darf und wer dies kontrollieren soll. Nicht wirklich gelöst ist zudem die Frage, wie die Zugriffsrechte nun genau vergeben werden sollen, wer ist berechtigt die Anschrift des Domaininhabers abzurufen und wer nicht.

Aufgrund des Selbstverwaltungsprinzips müssen neue Verfahren mit vielen „Stakeholdern“ abgestimmt werden. Es wird wohl noch lange dauern, bis Whois wirklich ersetzt wird. Schließlich ist man schon seit 2012 am Überlegen. Es ist absehbar, dass es viel Streit geben wird, wie aktuell Mehr auf der ICANN-Seite: https://whois.icann.org/en/file/presentation-rds-24mar14-en

 

 

 

 

 

Dieser Beitrag wurde unter Domains, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.