Liest der Suchmaschinenbetreiber Google bei WHOIS-Abfragen im Internetangebot der DENIC eG mit? Die .de-Registry reagiert jedenfalls prompt – an einer Lösung des Problems wird nach Angaben des Vorstands bereits gearbeitet.
Auslöser der aktuellen Debatte ist die Einführung signierter Auskünfte im WHOIS. Seit dem 4. September 2012 bietet die DENIC die Möglichkeit, über die webbasierte WHOIS-Abfrage die Inhaberdaten einer .de-Domain in signierter Form auszugeben. Über eine solche signierte WHOIS-Abfrage lässt sich zweifelsfrei nachweisen, wer zum Zeitpunkt der Abfrage Inhaber einer .de-Domain war, etwa vor dem Hintergrund einer geplanten Veräußerung der Domain oder in rechtlich relevanten Fällen. Um sicherzustellen, dass diese Abfragen nur durch Personen und nicht automatisiert durchgeführt werden können, ist seit dem Jahr 2009 eine Sicherheitsabfrage (Captcha) vorgeschaltet, die man nunmehr durch reCAPTCHA ersetzt hat. Das hinter reCAPTCHA stehende Unternehmen hat der Suchmaschinenbetreiber Google im Jahr 2009 erworben und nutzt es, um Bücher sowie Zeitschriften zu digitalisieren, wobei sich der Nutzer durch Erkennen der Wortkombinationen oftmals unbewusst an diesem Digitalisierungsprojekt beteiligt. Die Einbindung von reCAPTCHA führte nun zu der Sorge, dass der WHOIS-Dienst nicht genutzt werden kann, ohne dass die abgefragte Domain an Google übermittelt wird.
In einer ersten Stellungnahme wies die DENIC-Pressestelle darauf hin, dass DENIC selbst diese Informationen nicht übertragen würde, sondern der Nutzer über den von ihm verwendeten Browser. Ob dies geschieht, würde dabei von der Browserkonfiguration abhängen; der Nutzer könne dieses Verhalten abstellen, in dem er die Übertragung des http-Referers im Header zur nächsten aufgerufenen Seite unterbindet. Dieser Hinweis führte prompt zu scharfem Protest, da DENIC ein Problem auf den Nutzer verlagere, das man selbst geschaffen habe. So wurde unter anderem eingewandt, dass sich das Problem bei korrekter Verwendung nach Maßgabe des einschlägigen RFC (request for comments) 2616 leicht vermeiden ließe.
Sabine Dolderer, Mitglied des Vorstands der DENIC eG, hat inzwischen angekündigt, dass man sich das Thema nochmals ansehen werde. Falls die Lösung einfach sei, werde man dies sicher auch schnell adressieren. So hat man inzwischen verschiedene Verfahren, das Problem zu lösen, evaluiert und arbeitet an einer Lösung. Da die webbasierte WHOIS-Abfrage jedoch ein sehr häufig genutzter DENIC-Dienst ist, sind auch bei kurzfristigen Änderungen einige Funktions- und Performancetests erforderlich. Einstweilen ist jedoch nicht auszuschliessen, dass Google bei jeder webbasierten WHOIS-Abfrage Kenntnis von der gesuchten .de-Domain erhält; in welchem Umfang das Unternehmen diese Daten nutzt, steht allerdings auf einem anderen Blatt.
Update: am 18. Oktober 2010 hat uns eine Mitteilung der DENIC eG erreicht, wonach die Sicherheitseinstellungen im DENIC-Informationsdienst WHOIS angepasst wurden. Wörtlich heisst es: »Um eine vollständige Lösung anzubieten wurde die Abfrage auf das sichere Übertragungsprotokoll HTTPS umgestellt und die darin verwendete HTTP-Methode geändert. Durch die Nutzung von HTTPS werden Ihre Daten vertraulich und sicher an DENIC übertragen und der Browser des Nutzers kann die Quelle der Daten authentisieren. Der Vorteil der nun verwendeten Methode besteht darin, dass unabhängig davon, ob Ihr Browser den http-Referer überträgt oder nicht, dieser keine domainbezogenen Daten mehr enthält. Die Umstellung erfolgte gestern im Rahmen einer außerordentlichen Wartung.«