Die DSGVO und die Änderungen zum Whois

Das Whois ist in unserer Domainwelt ein nicht wegzudenkendes Tool. Zeigt es uns doch an, ob unsere eigenen eingetragenen Daten (noch) stimmig sind oder – noch wichtiger – ob eine gewünschte Domain fremdregistriert ist und vor allem von WEM.

Die ab dem 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) wird uns zumindest bei Letzerem einige Einschränkungen bescheren. Die wesentliche Änderung ist dabei in einem Satz beschrieben:

Es dürfen keine personenbezogenen Daten uneingeschränkt der Öffentlichkeit zugänglich gemacht werden.

DSGVO bewirkt hier also eine der größten Veränderungen in der Domainindustrie:

Ein bewachtes, geschlossenes, eingeschränktes Whois-System. Namen, Adressdaten Telefonnummern und/oder E-Mailadressen tauchen künftig nicht mehr auf oder werden durch anonymisierte Platzhalter ersetzt.

Im Folgenden stellen wir 3 Beispiele vor, die Ihnen die Änderungen (rot) verdeutlichen:

Den Anforderungen entsprechend, werden generell die Daten des administrativen Ansprechpartners „Data Protected“ sein. Da die des technischen Kontakts zumeist unpersonifizierte Rollen wie z. B. „Domainservice INDECA“ sind, werden diese ebenfalls weitestgehend im Whois erhalten bleiben.

Es handelt sich um eine reine EU-Verordnung. Insofern werden die technischen Herausforderungen der territorialen Abgrenzung sehr groß sein. Dass diese gemeistert werden müssen, steht außer Frage, denn die Strafen bei Nichteinhaltung sind drakonisch.

Die ICANN und deren angeschlossene Registries sind jedoch mit diesen Anforderungen hoffnungslos überfordert. Die EU-Kommission hat darauf reagiert. In einem erst kürzlich verfassten Schreiben an die ICANN betont die Kommission, dass Sie um die Komplexität des Whois-System wohl wisse. Die Frage, ob es hier einen Kompromiss gibt bleibt allerdings offen. Zumindest wird es eine Schonfrist zum Übergang geben. Wie lange diese gewährt wird, ist allerdings ungewiss.

Für Sie als Domaininhaber besteht kein Handlungsbedarf. Unsere Kunden, die eine eigene TLD betreiben, werden wir rechtzeitig über die zu ergreifenden Maßnahmen informieren.

Schlussendlich bleibt abzuwarten, wie sich das Verhalten der Grabber ändert. Schließlich werden hier Domains zum Zwecke des Wiederverkaufs registriert. Es wird daher ein gesteigertes Interesse bestehen, die Kontaktdaten öffentlich zu machen, um entsprechende Angebote zu erhalten.

Das Team der DOMAINEXPERTEN setzt sich gerne mit Ihren weiteren Fragen auseinander.

Nehmen Sie Kontakt mit uns auf!

Der CAA-Record (DNS)

Der CAA-Record (DNS) ist die neueste Erweiterung im DNS.
Bei „Certification Authority Authorization (CAA)“ handelt es sich um eine neue Möglichkeit im Zonefile (DNS) einer Domain zu definieren, welche Zertifizierungsstellen (CA) für die entsprechende Domain Zertifikate ausstellen darf.
Seit September 2017 ist es für Zertifizierungsstellen Pflicht, CAA-Einträge der zu validierenden Domains zu prüfen. Dies wurde mit deutlicher Mehrheit im CA/B-Forum beschlossen.
Bisher konnten durch eine „Man-in-the-middle“- Attacke und einem gültigen Zertifikat für die Domain, User im Glauben umgeleitet werden, eine SSL-Verbindungen zum gewünschten Ziel aufgebaut zu haben.
Dies wird nun erschwert, bzw. ganz unterbunden.

Das bei RIPE im RFC 6844 dokumentierte Verfahren wird auch als CA-Pinning, Certificate Pinning oder SSL-Pinning bezeichnet. Dabei wird das SSL-/TLS-Zertifikat nicht nur an einen festgelegten Host/Endpunkt, sondern auch an definierte Zertifizierungsstellen
gebunden.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 issue „comodoca.com“

Durch die hier gesetzte Hinterlegung wird beispielsweise „Comodo“ als ausschließliche Zertifizierungsstelle der Domain example.com autorisiert. Dies gilt auch für Subdomains.

Zudem kann in einem weiteren CAA-Record eine Report- E-Mailaddresse angelegt werden, die im Konfliktfall eine Information im iodef-Format erhält. Dies wird jedoch noch nicht von allen Zertifizierungsstellen unterstützt.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 iodef “mailto:caa@domainexperten.de”

Es gibt jedoch auch einen Haken an der Sache. Während die Zertifizierungsstellen verpflichtet wurden, CAA-Einträge zu prüfen, besteht umgekehrt keine Pflicht einen solchen auch in die DNS einzutragen. Wird kein CAA-Eintrag angelegt, kann das Zertifikat – wie bisher – von jeder Zertifizierungsstelle ausgestellt werden.

Daher empfehlen wir, CAA-Einträge für Hauptdomains zu hinterlegen.

Folgende Website kann Sie bei der Erstellung und Überprüfung der Einträge unterstützen:

https://sslmate.com/caa/

Unser DNS-System nimmt die Einrichtung der CAA-Einträge derzeit über den Custom-Record an. Die Implementierung als Auswahl im Pull-Down-Menü folgt.

BACK TO THE ROOTS – Vertrieb mal wieder an der Basis

Meine ersten „EDV-Sporen“ habe ich mir im Vertrieb verdient. Von Mailingaktionen (den Geschmack von abgeleckten Briefkuverts schmecke ich heute noch auf der Zunge…) über Kaltakquise-Telefonaten bis hin zu Messediensten bei der Hannover CeBIT, der Münchner Systems oder der Kölner OrgaTec habe ich jahrelang so ziemlich alles mitgemacht.

Weiterlesen