SVCB/HTTPS-Record

Nach RFC 9460 + 9461 + 9540

Service-Binding-DNS-Record (RFC 9460) mit ALPN, IPv4/IPv6-Hints, ECH und dohpath. Löst A/AAAA für HTTPS, DoH und DoT ab.

Was ist das, und wann brauche ich es?

Was ist das?

SVCB- und HTTPS-Resource-Records (RFC 9460) sind die moderne DNS-Schicht, die einen Hostnamen mit dem tatsächlichen Transport verknüpft: ALPN-Protokolle (HTTP/2, HTTP/3), alternative Ports, IPv4/IPv6-Hints, ECH-Config für Encrypted ClientHello und DoH/OHTTP-Discovery. Der HTTPS-Record ist die spezialisierte SVCB-Form für HTTPS-Origins.

Browser (Chrome, Firefox, Safari) und Resolver fragen den HTTPS-Record vor dem A/AAAA ab, wodurch Sie HTTP/3 ohne Alt-Svc-Header bewerben und ECH ohne SNI-Leak ausrollen können.

Wann brauche ich das?

Sinnvoll sobald HTTP/3 ausgeliefert oder ECH eingeschaltet werden soll. Auch praktisch für DoH/DoT-Resolver-Discovery (RFC 9461), wo der SVCB-Record das dohpath-Template trägt, mit dem der Client DoH-Anfragen baut.

Adoption-Hinweis: der Record ist additiv - Clients, die ihn nicht verstehen, fallen auf A/AAAA zurück. Drop-in-sicher.

Sollte vorher schon vorhanden sein

  • TLS-Zertifikat für den TargetName
Vorlagen:
SvcParams (Servicemodus) Wenn aktiv, deaktiviert der Client den implizit angenommenen Default-ALPN (sonst zählt http/1.1 für HTTPS automatisch dazu).
Wenn aktiv, signalisiert der Record, dass der Service OHTTP-Gateway-Anfragen akzeptiert.
DNS-Record im Zone-File-Format nach RFC 9460 + 9461 + 9540
example.com.	3600	IN	HTTPS	1 . alpn="h3,h2"

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

So tragen Sie diesen Record beim DNS-Provider ein

Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt - nur das Menü-Wording unterscheidet sich.

INWX (Dernium-Standard für Neukunden)
  1. Login bei www.inwx.de.
  2. Reiter Nameserver → Domain auswählen → Nameserver-Sets verwaltenDNS-Einträge.
  3. Knopf Neuen Eintrag anlegen.
  4. Typ wählen (z. B. TXT), Hostname eintragen (für die Stamm-Domain das Feld leer lassen, sonst _dmarc o. Ä.), Wert einfügen, TTL bei 3600 belassen.
  5. Speichern. Propagation üblich innerhalb von 5-15 Minuten.
Strato
  1. Login im Strato-Kundenservicebereich.
  2. Menü Domains → Domain auswählen → Verwalten.
  3. Abschnitt DNS-VerwaltungNameserver/DNS-Einstellungen anpassen.
  4. Bei Eigene DNS-Verwaltung den passenden Record-Typ wählen (TXT-Records sind ein eigener Block), Hostname und Wert einfügen.
  5. Speichern. Strato propagiert typisch innerhalb 30-60 Minuten.
Hetzner DNS-Console
  1. Login bei dns.hetzner.com.
  2. Zone der Domain anklicken.
  3. Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
  4. Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
  1. Login im IONOS-Kundencenter.
  2. Menü Domains & SSL → Domain anklicken → DNS.
  3. Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
  4. Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
  1. Login bei Cloudflare, Domain auswählen.
  2. Reiter DNSRecords.
  3. Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
  4. Speichern. Propagation üblich unter 2 Minuten.

Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können sich bei Redesigns leicht verschieben.

Bestehenden HTTPS/SVCB-Record live prüfen

Holt den HTTPS- oder SVCB-Record per DNS-over-HTTPS (Cloudflare 1.1.1.1, mit DNSSEC-AD-Bit) und bewertet Priority, TargetName und SvcParams gegen Best-Practice. Server-Pfad: Maximal 12 Anfragen pro Minute, kein Logging.

Beispiele: · ·