Das »Council of European National Top-Level Domain Registries« (CENTR) versucht, den Markt der Registry-Lock-Services zu vereinheitlichen. Vor wenigen Tagen veröffentlichte die Organisation ein »white paper«, das zwei Empfehlungen ausspricht.
Um die Domain-Inhaber vor einem versehentlichen Domain-Verlust zu schützen, bieten zahlreiche Registries einen sogenannten Registry-Lock-Service an. Sie knüpfen jede Änderung rund um eine Domain, also zum Beispiel eine Übertragung oder Modifikationen in den WHOIS-Daten, an zusätzliche Authentifizierungsmaßnahmen. Der Bedarf daran wächst; bei einer Umfrage im Jahr 2019 hatte sich herausgestellt, dass von 27 ccTLD-Betreibern 14 einen solchen Service bereits anbieten, und weitere acht ihn vorbereiten. In der praktischen Ausgestaltung unterschieden sich diese Dienstleistungen aber oft erheblich; so verlassen sich laut CENTR bei einigen Modellen die Registries in erheblichem Maße auf die Registrare, so dass eher von einem »registry-assisted«-Registry-Lock gesprochen werden müsste. Um den Wert des Registry-Locks für die Kunden zu vereinheitlichen, möchte CENTR einen Standard entwickeln, den alle interessierten Registries so übernehmen können.
Herausgekommen sind zwei Empfehlungen, die CENTR am 19. August 2020 in einem »white paper« veröffentlicht hat. Unterschieden wird zwischen dem »registry-focused lock« und dem »registrarfocused lock«, die CENTR in jeweils zwei Varianten unterteilt. Maßgebliches Kriterium ist, wer den Authentifizierungsprozess anstößt, die Registry oder der Registrar; dementsprechend muss der Domain-Inhaber auch entweder mit der Registry oder dem Registrar in Kontakt treten. Beim Registry-Modell ist zudem die Beteiligung des Registrars reduziert; er wird zwar informiert, kann den Vorgang selbst jedoch nicht beeinflussen. Beim Registrar-Modell übernimmt der Registrar die Authentifizierung, so dass auch er bestimmt, nach welchen Kriterien diese abläuft. Der Vorteil dieses Modells ist, dass die Registrare die notwendigen Ressourcen vorhalten, um den Kundenkontakt effizient abzuwickeln, ist das doch ihr Kerngeschäft; allerdings steht damit auch eine Tür offen, die Missbrauch auf Ebene des Domain-Registrars erlaubt.
Welches Modell eine Registry wählt, ist letztlich ihr überlassen. CENTR hat also nicht die Kompetenz, insoweit verbindliche Standards zu setzen. Viel wichtiger ist es CENTR aber, für eine Verbreitung von Lock-Services zu werben, um besonders wichtige Domains – und damit die Kunden, welche auf die Authentizität eines Internetangebots vertrauen – noch effektiver gegen Missbrauch zu schützen.