Service-Binding-DNS-Record (RFC 9460) mit ALPN, IPv4/IPv6-Hints, ECH und dohpath. Löst A/AAAA für HTTPS, DoH und DoT ab.
Was ist das, und wann brauche ich es?
Was ist das?
SVCB- und HTTPS-Resource-Records (RFC 9460) sind die moderne DNS-Schicht, die einen
Hostnamen mit dem tatsächlichen Transport verknüpft: ALPN-Protokolle (HTTP/2, HTTP/3),
alternative Ports, IPv4/IPv6-Hints, ECH-Config für Encrypted ClientHello und
DoH/OHTTP-Discovery. Der HTTPS-Record ist die spezialisierte SVCB-Form für HTTPS-Origins.
Browser (Chrome, Firefox, Safari) und Resolver fragen den HTTPS-Record vor dem A/AAAA ab,
wodurch Sie HTTP/3 ohne Alt-Svc-Header bewerben und ECH ohne SNI-Leak ausrollen können.
Wann brauche ich das?
Sinnvoll sobald HTTP/3 ausgeliefert oder ECH eingeschaltet werden soll. Auch praktisch für
DoH/DoT-Resolver-Discovery (RFC 9461), wo der SVCB-Record das dohpath-Template
trägt, mit dem der Client DoH-Anfragen baut.
Adoption-Hinweis: der Record ist additiv - Clients, die ihn nicht verstehen,
fallen auf A/AAAA zurück. Drop-in-sicher.
DNS-Record im Zone-File-Formatnach RFC 9460 + 9461 + 9540
example.com. 3600 IN HTTPS 1 . alpn="h3,h2"
So tragen Sie diesen Record beim DNS-Provider ein
Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch
TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche
Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt
- nur das Menü-Wording unterscheidet sich.
Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
Login im IONOS-Kundencenter.
Menü Domains & SSL → Domain anklicken → DNS.
Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
Login bei Cloudflare, Domain auswählen.
Reiter DNS → Records.
Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
Speichern. Propagation üblich unter 2 Minuten.
Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle
typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft
der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können
sich bei Redesigns leicht verschieben.
Bestehenden HTTPS/SVCB-Record live prüfen
Holt den HTTPS- oder SVCB-Record per DNS-over-HTTPS (Cloudflare 1.1.1.1, mit DNSSEC-AD-Bit) und bewertet Priority, TargetName und SvcParams gegen Best-Practice. Server-Pfad: Maximal 12 Anfragen pro Minute, kein Logging.