Providerwechsel mit AuthInfo - Schnell, sicher, zuverlässig
Das derzeitige Providerwechselverfahren (im Folgenden auch als asynchrones Verfahren bezeichnet) schreibt für den aktuellen und den zukünftigen Provider Prüfungspflichten vor, um sicherzustellen, dass der Providerwechselauftrag für die Domain nur von einer dazu berechtigten Person angestoßen wird. Die Kommunikation zwischen den beteiligten DENIC-Mitgliedern und der DENIC erfolgt dabei über das DENIC-Registrierungssystem. Da jeweils mehrere Tage als Reaktionszeiten vorgesehen sind, kann ein Providerwechsel bis zu seinem Abschluss bis zu fünf Werktage benötigen. Beim neuen Verfahren wird dagegen nach dem Start des Providerwechsels nur noch die Übereinstimmung der im Auftrag übermittelten AuthInfo mit der bei der DENIC hinterlegten AuthInfo überprüft. Im positiven Fall wird der Providerwechsel sofort ohne weitere Wartezeit durchgeführt. Das eröffnet die Möglichkeit, den exakten Zeitpunkt eines Providerwechsels im Voraus festzulegen und die mit der Domain verbundenen Services durch den Provider entsprechend einzurichten.
Das neue Providerwechselverfahren mittels AuthInfo und das bisherige, asynchrone Verfahren stehen zunächst parallel zur Verfügung. Der Domaininhaber hat also die Wahl, welches Verfahren er nutzen möchte, muss sich allerdings definitiv für eines der beiden entscheiden. Das AuthInfo-Verfahren hat den Vorteil, die Kommunikationswege zu minimieren und damit einfacher, schneller und noch ein wenig sicherer zu sein als das asynchrone Verfahren.
Um das neue Verfahren zu nutzen, muss der Domaininhaber zwei Mal aktiv werden: Zunächst beauftragt er bei seinem derzeitigen Provider eine AuthInfo und lässt diese bei der DENIC hinterlegen. Im zweiten Schritt startet er bei seinem neuen Provider den Providerwechselprozess, wobei er diesem die AuthInfo mitteilt. Im Folgenden werden diese beiden Vorgänge ausführlicher dargestellt.
Erzeugung und Hinterlegung der AuthInfo
Wenn ein Domaininhaber mit seiner Domain zu einem anderen Provider wechseln möchte, beauftragt er über seinen derzeitigen Provider eine AuthInfo. Es gibt keine Vorgaben der DENIC, ob der Domaininhaber selbst ein Passwort (AuthInfo) auswählt oder ob der Provider dies tut und es dem Domaininhaber mitteilt. Der Provider erzeugt von der AuthInfo eine „verschlüsselte“ Version (einen sog. Hash) und übergibt sie über das verwaltende Mitglied an die DENIC. Die Übergabe als Hash ist ein zusätzliches Sicherheitsmerkmal bei der Übertragung. Bei der DENIC wird die AuthInfo in verschlüsselter Form in der Datenbank hinterlegt. Damit ist der DENIC das Klartextpasswort nicht bekannt.
Ebenfalls aus Sicherheitsgründen ist eine AuthInfo nicht unbegrenzt gültig, sondern verfällt nach spätestens 30 Tagen. Ein Providerwechsel kann dann mit dieser AuthInfo nicht mehr durchgeführt werden. Soll der Providerwechsel weiterhin stattfinden, muss entweder wieder eine AuthInfo hinterlegt oder das asynchrone Verfahren angestoßen werden.
Sollte es dem Domaininhaber nicht möglich sein, bei seinem derzeitigen Provider eine AuthInfo zu beauftragen (etwa weil der Provider nicht mehr existiert, der Domaininhaber ihn nicht erreicht oder der Provider nicht reagiert), so kann er auch ein Providerwechselpasswort direkt von der DENIC erhalten. Der Domaininhaber wendet sich in diesem Fall an das DENIC-Mitglied, das die Domain zukünftig verwalten soll. Dieses veranlasst die Generierung der AuthInfo direkt bei der DENIC. Die DENIC sendet daraufhin dem Domaininhaber per Einschreiben die erzeugte AuthInfo an seine in den Domaindaten hinterlegte Adresse zu. Bei ausländischen Domaininhabern wird das Schreiben an den in Deutschland ansässigen Admin-C geschickt, um lange Brieflaufzeiten und hohe Portokosten zu vermeiden und eine sichere Zustellung zu garantieren. Gleichzeitig hinterlegt die DENIC die generierte AuthInfo als Hash in der Domaindatenbank. Der Domaininhaber kann nun seinem neuen Provider die AuthInfo mitteilen und dieser startet den Providerwechselauftrag, bei dem er diese AuthInfo an die DENIC übergibt.
Die folgende Abbildung beschreibt die Wege, wie eine AuthInfo bei der DENIC hinterlegt werden kann:
Durchführung eines Providerwechsels mit AuthInfo
Um den tatsächlichen Providerwechsel zu starten, teilt der Domaininhaber die AuthInfo seinem neuen Provider mit. Dieser, oder genauer: das die Domain verwaltende DENIC-Mitglied, kann bei der DENIC nachsehen, ob eine AuthInfo hinterlegt ist (natürlich ohne die Angabe, wie die AuthInfo lautet) und, sofern das geschehen ist, den Providerwechselauftrag unter Angabe der AuthInfo an die DENIC übermitteln.
Wenn der Providerwechselauftrag bei der DENIC eingegangen ist, prüft diese zunächst, ob für die betreffende Domain eine gültige AuthInfo hinterlegt ist. Ist dies der Fall, vergleicht die DENIC den Hash der übermittelten AuthInfo mit dem hinterlegten Wert. Stimmt er überein, wird der Providerwechsel sofort durchgeführt und die dafür verwendete AuthInfo gelöscht. Ist das Passwort nicht korrekt, wird der Providerwechsel abgelehnt und der neue Provider darüber informiert. Liegt für die Domain keine AuthInfo vor, muss sich der Domaininhaber mit dem bisherigen Provider in Verbindung setzen, um zu klären, warum die AuthInfo nicht hinterlegt wurde.
Mit einer AuthInfo kann übrigens zeitgleich mit dem Providerwechsel auch ein Inhaberwechsel für die Domain erfolgen, sofern dem nicht andere Vorschriften, wie ein DISPUTE-Eintrag auf der Domain, entgegenstehen. Dies unterscheidet das neue Verfahren vom asynchronen Verfahren, bei dem der Inhaberwechsel getrennt durchgeführt werden muss. Andere Domainverwaltungsprozesse wie beispielsweise Updates der Domaindaten oder Löschungen können mit einer AuthInfo nicht abgewickelt werden.
Die Abläufe beim Providerwechsel mit AuthInfo gibt die nachfolgende Abbildung noch einmal in Kurzform wieder:
AuthInfo beim Service DENICdirect
Domaininhaber, die mit ihrer Domain zum Service DENICdirect der DENIC umziehen wollen, können dazu ebenfalls eine AuthInfo nutzen, die sie bei ihrem aktuellen Provider beauftragt haben. Ist keine AuthInfo des Providers hinterlegt, kann während des Providerwechsels zu DENICdirect alternativ eine AuthInfo bei der DENIC beauftragt werden. Danach erhält der Domaininhaber die AuthInfo zugesandt und kann den Providerwechsel hin zu DENICdirect abschließen.
Regelungen für Domains im TRANSIT
Gelangt eine Domain in den TRANSIT, so wird eine AuthInfo, die von dem die Domain bislang verwaltenden Mitglied hinterlegt wurde, gelöscht. Eine AuthInfo, welche durch die DENIC generiert und dem Domaininhaber zugesandt wurde, bleibt dagegen bis zum Ende ihrer Gültigkeitsdauer bestehen. Ein Grund für diese unterschiedliche Behandlung liegt darin, dass im zweiten Fall nur der Domaininhaber die AuthInfo kennt. Im ersten Fall könnte das Providerwechselpasswort hingegen auch dem bisher verwaltenden DENIC-Mitglied und eventuellen Resellern bekannt sein. Da dieses Mitglied aber die Verwaltung der Domain aufgegeben und diese in den TRANSIT geschickt hat, ist es sinnvoll, dass es auch keine Verwaltungsinformationen zu dieser Domain mehr besitzt.
Soll eine Domain, die sich im TRANSIT befindet, wieder in die Verwaltung eines DENIC-Mitglieds übergehen, so kann dafür ein Providerwechsel mit AuthInfo gestartet werden, sofern bereits eine AuthInfo von der DENIC, die per Brief zugeschickt wurde, existiert. Alternativ kann der Domaininhaber mit dem Passwort, das ihm im TRANSIT-Schreiben mitgeteilt wurde, auf der DENIC-Webseite sein zukünftiges verwaltendes Mitglied auswählen und im Rahmen des TRANSIT-Verfahrens die Domain zu diesem umziehen.
Nachdruck erlaubt, Belegexemplar erbeten.