Domain-Registrierungsdaten lesen: Felder und Codes erklärt

Ein WHOIS- oder RDAP-Eintrag enthält viele Felder, von denen mehrere nicht selbsterklärend sind. Besonders die EPP-Statuscodes verwirren häufig, clientTransferProhibited auf der eigenen Domain zu sehen kann alarmierend wirken, ist aber tatsächlich der korrekte, gesunde Zustand. Dieser Artikel erklärt die wichtigsten Felder und beginnt mit der Drei-R-Verwechslung, die fast jeden trifft, der zum ersten Mal Registrierungsdaten liest.

Die drei Rs: Registrant, Registrar und Registry

Diese drei Begriffe erscheinen in jedem Registrierungseintrag und werden häufig verwechselt:

Begriff	Rolle	Reale Beispiele
Registry	Die Behörde, die einen TLD verwaltet	Verisign (.com), DENIC (.de), PIR (.org)
Registrar	Das akkreditierte Unternehmen, das Registrierungen verkauft	IONOS, Strato, Cloudflare Registrar
Registrant	Die Person oder Organisation, die die Domain besitzt	Ihr Unternehmen oder Name

Die einfachste Analogie: Die Registry ist das Grundbuchamt, der Registrar ist der Notar oder Makler, und der Registrant ist der Eigentümer. Mit dem Registrar haben Sie zu tun, wenn Sie eine Domain kaufen, verlängern oder transferieren. Die Registry verzeichnet den offiziellen Stand, wem welche Domain unter einem bestimmten TLD gehört.

In einem WHOIS-Eintrag finden Sie alle drei:

• Registry Domain ID, die interne Registry-Kennung der Domain
• Registrar, das Unternehmen, bei dem die Domain registriert ist
• Registrant Name / Organization. Inhaberdaten (häufig redaktiert)

Schlüsseldaten: Erstellung, Aktualisierung und Ablauf

Jeder Registrierungseintrag enthält drei Datumsangaben. Sie klingen ähnlich, bedeuten aber verschiedene Dinge:

• Erstellungsdatum, das erste Datum, an dem die Domain registriert wurde. Nicht unbedingt das Datum, an dem der aktuelle Inhaber sie erwarb; Domains wechseln den Besitzer ohne Zurücksetzen des Erstellungsdatums.
• Aktualisierungsdatum (wann der Registrierungseintrag zuletzt geändert wurde. Ein aktuelles Aktualisierungsdatum bedeutet keine aktuelle Eigentumsübertragung) auch eine Nameserver-Änderung oder Verlängerung löst eine Aktualisierung aus. Dieses Datum ist oft irreführend.
• Ablaufdatum (auch Registry Expiry Date), das Datum, an dem die Domain-Registrierung verfällt, wenn sie nicht verlängert wird. Das ist das wichtigste für die Überwachung.

In einer RDAP-Antwort erscheinen Datumsangaben im events-Array:

"events": [
  {
    "eventAction": "registration",
    "eventDate": "2007-10-09T18:20:50Z"
  },
  {
    "eventAction": "last changed",
    "eventDate": "2022-09-07T09:10:44Z"
  },
  {
    "eventAction": "expiration",   ← das ist das entscheidende
    "eventDate": "2024-10-09T18:20:50Z"
  }
]

Kulanzfrist, Rückkauffrist und Pending Delete

Nach dem Ablaufdatum verschwindet die Domain nicht sofort. Die meisten Registries folgen einem strukturierten Zeitplan:

1. Kulanzfrist (0 bis 45 Tage je nach Registrar): Die Domain ist abgelaufen, kann aber noch zum Normalpreis verlängert werden. Die Domain kann aufgehört haben zu resolven, oder der Registrar zeigt eine Warteseite.
2. Rückkauffrist (etwa 30 Tage): Verlängerung ist noch möglich, aber mit erheblichen Rückkaufgebühren, typischerweise 50 bis 150 Euro zusätzlich zum Verlängerungspreis. Der EPP-Status wechselt zu redemptionPeriod.
3. Pending Delete (etwa 5 Tage): Die Domain steht in der Löschliste. Verlängerung ist nicht mehr möglich. Status: pendingDelete.
4. Verfügbar: Die Domain wird freigegeben und kann von jedem registriert werden. Drop-Catching-Dienste konkurrieren in genau diesem Moment.

EPP-Statuscodes erklärt

EPP-Statuscodes (Extensible Provisioning Protocol) beschreiben den aktuellen Betriebszustand einer Domain. Sie erscheinen als status-Feld in RDAP oder Domain Status im WHOIS-Text:

EPP-Code	Einfache Bedeutung	Was es impliziert
ok / active	Normal, keine Einschränkungen	Gesunder Standardzustand
clientTransferProhibited	Transfer vom Registrar gesperrt	Inhaber oder Registrar hat ausgehende Transfers gesperrt, normal und empfohlen
clientUpdateProhibited	Eintragsänderungen blockiert	Änderungen im Registrierungseintrag sind gesperrt
clientDeleteProhibited	Löschung blockiert	Domain kann nicht gelöscht werden, oft gleichzeitig mit Transfer- und Update-Sperren
serverTransferProhibited	Transfer von Registry gesperrt	Registry-Sperre, kann auf Rechtsstreit oder Hold hinweisen
serverHold	Von Registry suspendiert	Domain löst nicht im DNS auf, ernstes Signal, sofortige Untersuchung nötig
clientHold	Vom Registrar suspendiert	Ähnlich serverHold, aber auf Registrar-Ebene
pendingTransfer	Transfer zu anderem Registrar läuft	Normales 5-7-Tage-Fenster bei einem Registrar-Wechsel
pendingDelete	In der Löschliste	Domain wird in ~5 Tagen freigegeben
redemptionPeriod	Späte Kulanzfrist, hohe Rückkaufgebühren	Domain abgelaufen, im teuren Rückkauf-Fenster

Eine aktiv genutzte, gesunde Domain zeigt typischerweise clientTransferProhibited, clientUpdateProhibited und clientDeleteProhibited gleichzeitig. Diese Kombination ist kein Problem, es ist der Standard-Schutz des Registrars gegen unbefugte Änderungen. Das Fehlen dieser Sperren bei einer wichtigen Domain ist tatsächlich besorgniserregend.

serverHold ist der Code, der sofortiges Handeln erfordert. Eine Domain im serverHold-Status löst nicht im DNS auf, sie ist im Web unsichtbar. Das kann durch Zahlungsprobleme, Missbrauchsmeldungen oder Rechtsverfahren auf Registry-Ebene entstehen.

Nameserver: was sie verraten

Nameserver sind informativer als sie erscheinen:

Nameserver-Muster	Wahrscheinlicher Anbieter
ns1.cloudflare.com, ns2.cloudflare.com	Cloudflare DNS
ns-xxx.awsdns-xx.com	Amazon Route 53
ns1.digitalocean.com	DigitalOcean
dns1.p08.nsone.net	NS1 (oft von großen Tech-Unternehmen verwendet)
ns1.hetzner.com	Hetzner DNS

Eine Nameserver-Änderung auf einer überwachten Domain ist eines der bedeutsamsten Ereignisse. Sie zeigt fast immer einen Wechsel beim Hosting-Anbieter, der DNS-Infrastruktur oder (bei einer kompromittierten Domain) einen unberechtigten Hijack an.

Eine RDAP-Antwort lesen: vollständiges Beispiel

Eine echte RDAP-Antwort für github.com, annotiert:

{
  "ldhName": "github.com",           ← normalisierter Domainname
  "handle": "1264983250_DOMAIN_COM-VRSN",  ← interne Registry-ID
  "status": [                        ← EPP-Statuscodes
    "client transfer prohibited",
    "client update prohibited",
    "client delete prohibited"
  ],
  "events": [                        ← alle Datumsangaben hier
    { "eventAction": "registration", "eventDate": "2007-10-09T18:20:50Z" },
    { "eventAction": "expiration",   "eventDate": "2024-10-09T18:20:50Z" },
    { "eventAction": "last changed", "eventDate": "2022-09-07T09:10:44Z" }
  ],
  "nameservers": [                   ← DNS-Delegation
    { "ldhName": "dns1.p08.nsone.net" },
    { "ldhName": "dns2.p08.nsone.net" }
  ],
  "entities": [                      ← Registrar und Registrant
    {
      "roles": ["registrar"],
      "vcardArray": ["vcard", [
        ["fn", {}, "text", "MarkMonitor Inc."]
      ]]
    }
  ],
  "secureDNS": {                     ← DNSSEC-Konfiguration
    "delegationSigned": true
  }
}

WHOIS- zu RDAP-Feldzuordnung

Für Leser, die rohen WHOIS-Text vorfinden und ihn auf RDAP-Konzepte abbilden müssen:

WHOIS-Feld	RDAP-Äquivalent
Registrar:	entities[].roles["registrar"].vcardArray
Creation Date:	events[?(@.eventAction=="registration")].eventDate
Registry Expiry Date:	events[?(@.eventAction=="expiration")].eventDate
Updated Date:	events[?(@.eventAction=="last changed")].eventDate
Name Server:	nameservers[].ldhName
Domain Status:	status[]
DNSSEC:	secureDNS.delegationSigned

Ein vollständiger Registrierungseintrag liefert in kompaktem Format viele Informationen. Die drei Datumsangaben und die EPP-Statuscodes sind die wichtigsten Indikatoren für die Domain-Gesundheit. Domain Sentinel stellt all das strukturiert und lesbar dar und sendet Benachrichtigungen, wenn sich Status oder Daten ändern, führen Sie eine Suche auf einer beliebigen Domain durch, um es in Aktion zu sehen.