Früher konntest du die Inhaber:innen einer Domain mithilfe von Whois-Diensten ausfindig machen, die auf dem gleich­na­mi­gen Protokoll basieren. Bereits 2015 legten IETF und ICANN jedoch die ersten Standards für das RDAP (Re­gis­tra­ti­on Data Access Protocol) fest. Dieses Protokoll ist darauf ausgelegt, die Nachfolge von Whois zeitnah an­zu­tre­ten.

Was ist das Re­gis­tra­ti­on Data Access Protocol (RDAP)?

Das Re­gis­tra­ti­on Data Access Protocol (RDAP) wurde von einer Ar­beits­grup­pe der Internet En­gi­nee­ring Task Force (IETF) ent­wi­ckelt. Nach einer mehr­jäh­ri­gen Vor­be­rei­tungs­zeit erschien im Juli 2016 die erste Version (1.0). Die tech­ni­schen Details und An­wen­dun­gen sind in ver­schie­de­nen Requests for Comments (RFC 7480-7484 sowie RFC 8056) definiert. RDAP erlaubt es, de­tail­lier­te In­for­ma­tio­nen zu zentralen In­ter­net­res­sour­cen abzurufen, wie etwa:

  • Domain-Namen,
  • IP-Adressen oder
  • Au­to­no­mous System Numbers (ASNs).

Dabei dient diese Whois-Al­ter­na­ti­ve als Schnitt­stel­le, um gezielte Anfragen an Domain-Re­gis­tra­re zu richten. Diese speichern in ihren Da­ten­ban­ken wichtige In­for­ma­tio­nen, wie die Kon­takt­da­ten von Domain-Inhaber:innen, ad­mi­nis­tra­ti­ven An­sprech­per­so­nen (Admin-C) oder Details zu den ver­wen­de­ten Name­ser­vern samt deren Ver­wal­tung.

Warum wurde RDAP ent­wi­ckelt?

Das Whois-Protokoll wurde bereits 1982 von der IETF ver­öf­fent­licht, ur­sprüng­lich für das damalige ARPANET. Dass es nach Jahr­zehn­ten im modernen Internet immer noch genutzt wird, sehen Fachleute kritisch. Der Haupt­grund: Whois kann mit den heutigen tech­ni­schen An­for­de­run­gen des Webs nicht mehr Schritt halten.

Ein Problem ist bei­spiels­wei­se die fehlende Kodierung, wodurch nicht-la­tei­ni­sche Schrift­zei­chen (wie etwa deutsche Umlaute) nicht un­ter­stützt werden. Zudem erfolgt der Zugriff auf Domain-Daten oft un­ver­schlüs­selt und ist kaum re­gu­lier­bar. So können auch anonyme Nutzer:innen pro­blem­los sensible Mail- und Adress­da­ten für miss­bräuch­li­che Zwecke abgreifen.

Ansätze wie Whois++ oder das IRIS-Protokoll (Internet Registry In­for­ma­ti­on Service) der Denic konnten sich nicht dauerhaft eta­blie­ren. Nach langen Dis­kus­sio­nen innerhalb der ICANN-Community gab der Si­cher­heits­be­richt SAC 051 im Jahr 2011 den Anstoß für die Ent­wick­lung von RDAP.

Im Jänner 2023 stimmte die ICANN global darüber ab, WHOIS offiziell durch RDAP zu ersetzen. Die Mehrheit entschied sich für diesen Wechsel. Ab Jänner 2025 sind DNS-Re­gis­tries und Re­gis­tra­re nicht mehr ver­pflich­tet, den alten WHOIS-Dienst an­zu­bie­ten.

Wie funk­tio­niert RDAP?

Um RDAP zu nutzen, ist ein Ver­ständ­nis der Funk­ti­ons­wei­se auf Client- und Server-Seite nötig. Die RFCs 7480 bis 7484 be­schrei­ben die Basis-Im­ple­men­tie­rung, während weitere Dokumente Er­wei­te­run­gen erläutern. Im Folgenden skiz­zie­ren wir den Ablauf über HTTPS, wie er im RFC 7840 definiert ist.

Tipp

Für eine leichtere Umsetzung hat die ICANN einen tech­ni­schen RDAP Im­ple­men­ta­ti­on Guide erstellt.

Aufgaben des Clients:

Die cli­ent­sei­ti­ge Ein­bin­dung ist un­kom­pli­ziert. Da RDAP auf HTTP aufsetzt, nutzt es bewährte HTTP-Methoden. Clients senden Anfragen via GET oder HEAD. Dabei sollte ein „Accept“-Header mitsenden, der festlegt, welche JSON-Formate ver­ar­bei­tet werden können.

Aufgaben des Servers:

Ser­ver­sei­tig ist der Prozess komplexer. Bei einer er­folg­rei­chen Abfrage liefert der Server die Daten im JSON-Format mit dem Sta­tus­code 200 (OK) aus. Während GET-Anfragen die In­haber­da­ten liefern, bestätigt eine HEAD-Anfrage lediglich, ob Daten zur Domain vorliegen.

Verweist der Server auf eine andere Quelle, antwortet er mit den Sta­tus­codes 301, 302, 303 oder 307. Die Ziel-URL wird dabei im „Location“-Header über­mit­telt.

Sind keine Daten vorhanden, folgt der Sta­tus­code 404 (Not Found). Möchte der Server den Zugriff ver­wei­gern, nutzt er einen passenden Code aus dem 400er-Bereich. Feh­ler­haf­te Anfragen werden mit 400 (Bad Request) quittiert, wobei oft Details im HTTP-Body mit­ge­lie­fert werden.

De­tail­lier­te Infos zu Si­cher­heit und Er­wei­te­run­gen findest du in den je­wei­li­gen RFCs:

Was un­ter­schei­det das Re­gis­tra­ti­on Data Access Protocol von Whois?

RDAP ist in vielen Belangen die mo­der­ni­sier­te Form von Whois. Die IETF hat gezielt Schwach­stel­len behoben und den Fokus auf Si­cher­heit, Struktur und In­ter­na­tio­na­li­sie­rung gelegt. Die wich­tigs­ten Vorteile sind:

  • Struk­tu­rier­te Semantik für Anfragen und Antworten (inkl. Feh­ler­mel­dun­gen)
  • Ab­ge­si­cher­ter Zugriff auf Daten (z. B. via HTTPS)
  • Einfache Er­wei­ter­bar­keit der Aus­ga­be­wer­te
  • Boot­strap­ping“-Funktion (hilft beim Finden des richtigen DNS-Servers)
  • Stan­dar­di­sier­te Me­cha­nis­men zur Wei­ter­lei­tung
  • Basiert auf HTTP und ist REST-konform
  • Leichte Lo­ka­li­sie­rung und Über­set­zung der Daten
  • Option für ab­ge­stuf­ten Zugriff auf Kon­takt­da­ten

RDAP ist deutlich flexibler: Während Whois als Text­pro­to­koll fest an TCP und Port 43 gebunden ist, nutzt RDAP moderne Web­stan­dards. Daten werden im ma­schi­nen­les­ba­ren JSON-Format aus­ge­ge­ben. Das er­leich­tert die Pro­gram­mie­rung von Diensten, die mit ver­schie­de­nen Stellen kom­mu­ni­zie­ren und Er­geb­nis­se in un­ter­schied­li­chen Sprachen anzeigen.

RDAP Whois
Basiert auf HTTP Basiert auf Text­über­tra­gung
Stan­dar­di­sier­tes JSON-Format Keine festen Co­die­rungs-Schemata
Ma­schi­nen­les­bar & leicht über­setz­bar Klartext (schwer au­to­ma­ti­siert zu ver­ar­bei­ten)
Au­to­ma­ti­sche Wei­ter­lei­tung zu Re­gis­trie­rungs­stel­len Keine in­te­grier­ten Register-Infos zur Wei­ter­lei­tung
De­fi­nier­ba­re Zu­griffs­rech­te für Gruppen Keine Dif­fe­ren­zie­rung beim Da­ten­zu­griff möglich

Dis­kus­si­ons­punkt: Dif­fe­ren­zier­te Zu­griffs­rech­te

Ein Kern­fea­ture von RDAP ist die Steuerung von Zu­griffs­rech­ten. Re­gis­trie­rungs­stel­len können präzise festlegen, wer welche In­for­ma­tio­nen sieht. So könnten anonyme Gäste nur Ba­sis­da­ten erhalten, während au­then­ti­fi­zier­te Nutzer:innen vollen Einblick bekommen. Hier gibt es jedoch noch offene Fragen.

Bei­spiels­wei­se ist unklar, wie Behörden bei der Straf­ver­fol­gung behandelt werden, die oft anonym bleiben, aber vollen Zugriff benötigen. Auch Richt­li­ni­en für den grenz­über­schrei­ten­den Da­ten­aus­tausch fehlen teilweise noch. Im Zentrum steht immer der Schutz per­sön­li­cher Daten und das Vertrauen der Kund­schaft, die eine Domain re­gis­triert. Dieses Vertrauen darf durch die neue Technik nicht gefährdet werden. world4you setzt hier auf höchste Standards, um deine Daten sicher und rechts­kon­form zu verwalten.

Zum Hauptmenü