Zum Hauptinhalt springen

HTTPS-Record-Abfrage (Service Binding)

Optimieren Sie Verbindungen zu Ihrer Site mit HTTP/3 und ECH

Aktivieren Sie HTTP/3 und ECH-Verschlüsselung für Ihre Website. Überprüfen Sie, ob Ihre HTTPS-Records korrekt konfiguriert sind.

Im iterativen Tracemodus wird der Resolver ignoriert.
Fragt mehrere öffentliche Resolver ab, um die Antworten zu vergleichen.

HTTP/3-Support

Kündigen Sie HTTP/3 (QUIC)-Support über den alpn-Parameter für schnellere Verbindungen an.

Multi-Resolver

Vergleichen Sie Antworten von Google, Cloudflare und Quad9, um Propagierungsprobleme zu erkennen.

Alias-Modus am Apex

Verwenden Sie Priorität 0, um einen Alias am Domain-Root ohne CNAME zu erstellen.

Encrypted ClientHello

Veröffentlichen Sie ECH-Daten, um den SNI zu verschlüsseln und die Verbindungsprivatsphäre zu verbessern.

Kostenlos und unbegrenzt

Testen Sie so viele Domains wie nötig. Keine Anmeldung erforderlich.

Wie Sie die Optionen der DNS-Suchmaschine effektiv nutzen

Was ist der iterative Trace?

Der Trace führt die Auflösung Schritt für Schritt aus. Der Resolver fragt zuerst die Root-Server ab, dann die des TLD (.com, .fr, .eu) und anschließend die autoritativen Server der Zielzone. In jedem Schritt zeigt die Seite den abgefragten Server, die Antwort, den RCODE und die Latenz an.

  1. 1. Root

    Ermittlung der TLD-Server für den angefragten Namen.

  2. 2. TLD

    Verweis auf die NS der Zone (Delegation).

  3. 3. Autoritative Server

    Endgültige Antwort (oder Fehler) mit TTL und Latenz.

Wozu dient das?

  • Antworten nach Resolvern und Regionen vergleichen
  • Einen warmen Cache, einen zu langen TTL oder eine unvollständige Delegation erkennen
  • Einen Latenzunterschied oder einen unerwarteten RCODE erklären

Tipp: Lassen Sie den Trace für schnelle Checks deaktiviert; aktivieren Sie ihn, wenn Sie untersuchen oder ein Ticket/Post‑Mortem vorbereiten.

Was ist der klassische Trace?

Der klassische Trace befragt nur den ausgewählten Resolver (UDP oder DoH) und zeigt die Antwort so, wie sie von diesem Netzpunkt wahrgenommen wird. Sie erhalten den RCODE, die Antwortsektionen sowie die Latenz auf dem Abschnitt Client → Resolver.

  1. 1. Gewählter Resolver

    Verwendet das Preset oder die individuelle Konfiguration, um die Anfrage genau wie Ihr Dienst auszuführen.

  2. 2. Protokoll beibehalten

    Respektiert das ausgewählte Transportprotokoll (UDP, TCP oder DoH), um das reale Verhalten nachzustellen.

  3. 3. Detaillierte Antwort

    Zeigt die Bereiche Question, Answer und Authority/Additional, sofern vorhanden, mitsamt TTL und hilfreichen Metadaten.

Warum nutzen?

  • Die Sicht eines bestimmten Resolvers prüfen, bevor Sie die Delegation verdächtigen
  • Zwischengespeicherte Werte und die Wirkung eines TTL oder Flushs bestätigen
  • Eine Auflösung dokumentieren, wie sie ein Client oder Microservice erlebt

Tipp: Lassen Sie die Option für den iterativen Trace deaktiviert, wenn Sie einen bestimmten Resolver auditieren; aktivieren Sie sie anschließend, um den Pfad Root → TLD → Autoritativ zu vergleichen.

Wie funktioniert der Propagationstest?

Der Test befragt parallel eine Reihe öffentlicher Resolver (Google, Cloudflare, Quad9, OpenDNS, ISPs …) und gruppiert die Antworten nach Inhalt und RCODE. Sie sehen sofort, wer die Aktualisierung bereits übernommen hat.

  1. 1. Multipoint-Resolver

    Aktiviert die Propagations-Presets, um mehrere Akteure weltweit abzufragen.

  2. 2. Automatischer Vergleich

    Gruppiert identische Antworten und hebt Abweichungen oder resolver-spezifische Fehler hervor.

  3. 3. Verwertbare Zusammenfassung

    Liefert eine klare Übersicht, die Resolverliste, deren Latenzen und den Status jeder Gruppe.

Wann einsetzen?

  • Verfolgen, wie sich eine DNS-Änderung weltweit verbreitet
  • Veraltete Caches erkennen und über einen gezielten Flush entscheiden
  • Einen Propagationsstatus in einem Ticket oder Post-Mortem teilen

Tipp: Während des Propagationstests ist die Resolverauswahl gesperrt. Deaktivieren Sie den Modus, um zur Einzelanalyse zurückzukehren.

Was ist ein HTTPS-Record?

Ein HTTPS-Record (Typ 65) kündigt die optimale Konfiguration für die Verbindung zu einer Website an. Er kann unterstützte Protokolle (HTTP/2, HTTP/3), Port und ECH-Daten für SNI-Verschlüsselung angeben.

HTTPS-Record-Struktur:

FeldBeschreibungBeispiel
Priorität0 = Alias, 1+ = Service1
ZielService-Hostnamecdn.provider.com.
alpnUnterstützte Protokolleh3,h2
portService-Port443
echEncrypted ClientHello-Daten(base64)

Betriebsmodi

Service-Modus (Priorität > 0)

Kündigt Verbindungsparameter an:

www.captaindns.com.  3600  IN  HTTPS  1 . alpn=h3,h2

Alias-Modus (Priorität = 0)

Leitet zu einem anderen Ziel um (nützlich am Apex):

captaindns.com.  3600  IN  HTTPS  0 cdn.provider.com.

Häufige Parameter

ParameterBeschreibungBeispiel
alpnUnterstützte ALPN-Protokolleh3,h2
portService-Port (Standard 443)8443
ipv4hintIndikative IPv4-Adressen203.0.113.10
ipv6hintIndikative IPv6-Adressen2001:db8::1
echECH-Konfiguration(base64-kodiert)

Anwendungsfälle

HTTP/3 aktivieren

www.captaindns.com.  300  IN  HTTPS  1 . alpn=h3,h2

Apex-Alias zu CDN

captaindns.com.  3600  IN  HTTPS  0 captaindns.cdn.provider.com.

Mit aktiviertem ECH

www.captaindns.com.  300  IN  HTTPS  1 . alpn=h3,h2 ech=AEX+DQBBpQAgAC...

Wichtige Regeln

Kompatibilität

RegelErklärung
A/AAAA behaltenLegacy-Clients verwenden kein HTTPS
Gültiges ZielZiel muss A/AAAA-Records haben
Konsistente Priorität0 = nur Alias, > 0 = Service

Best Practices

PraxisWarum
HTTP/3 testenServer-Support vor Veröffentlichung prüfen
Kurzer TTL anfangsErleichtert Korrekturen
Änderungen dokumentierenNachverfolgbarkeit

Befehlszeilenüberprüfung

Linux/Mac

dig HTTPS www.captaindns.com

Windows

nslookup -type=https www.captaindns.com

Ergänzende Tools

ToolZweck
A-Record-AbfrageIPv4-Adressen prüfen
AAAA-Record-AbfrageIPv6-Adressen prüfen
DNS-PropagierungsprüfungWeltweite Propagierung prüfen

Nützliche Ressourcen