WebAnaliza.pl

koncepcja biznesu, bankowości internetowej, zakupów internetowych i starości - uśmiechnięty staruszek z laptopem i kartą kredytową w domu

WHOIS — jak sprawdzić właściciela domeny

Wiktor Skarzyński 10 min. czytania

Baza WHOIS to kluczowy element infrastruktury internetu – umożliwia szybki dostęp do danych rejestracyjnych domen, adresów IP i innych zasobów sieciowych. Choć powstała przed erą współczesnego internetu, wciąż odgrywa ważną rolę w zarządzaniu domenami, mimo nowych technologii i rosnących wymogów ochrony danych.

W tym opracowaniu znajdziesz zwięzłe omówienie: historii WHOIS, mechanizmu działania, zawartości rekordów, praktycznych zastosowań, wyzwań związanych z prywatnością oraz różnic pomiędzy WHOIS a RDAP – z akcentem na polski rynek domen.

Historia i geneza protokołu WHOIS

Początki WHOIS sięgają lat 80., gdy rodziła się współczesna sieć i pojawiła się potrzeba identyfikowania podmiotów odpowiedzialnych za określone zasoby sieciowe.

Poniżej najważniejsze kamienie milowe utrwalające standard WHOIS:

  • RFC 812 (1982) – pierwsza specyfikacja protokołu WHOIS przygotowana w SRI NIC;
  • RFC 954 (1985) – usprawnienia i rozszerzenia funkcjonalne protokołu;
  • RFC 3912 (2004) – aktualizacja do realiów nowoczesnego internetu i de facto standard do dziś.

W 1983 roku testowano system nazw domen (DNS), który zastąpił scentralizowany plik HOSTS.TXT i umożliwił skalowanie sieci. WHOIS rozwijał się równolegle jako narzędzie uzupełniające, służące do pozyskiwania danych o właścicielach zasobów.

Szczególnym momentem komercjalizacji było zarejestrowanie domeny symbolics.com (15.03.1985). Od 1995 roku domeny przestały być bezpłatne – decyzją National Science Foundation firma Network Solutions pobierała opłatę 100 USD za 2 lata, co zapoczątkowało dynamiczny rozwój rynku.

Funkcjonowanie protokołu WHOIS i architektura systemu

WHOIS działa w modelu klient–serwer. Zapytanie trafia na port TCP 43, jest kończone znakami ASCII CR/LF, a serwer odsyła tekstową odpowiedź i zamyka połączenie po jej zakończeniu.

Choć WHOIS projektowano do pracy w wierszu poleceń, dziś popularne są także narzędzia webowe. CLI pozostaje jednak standardem pracy administratorów i specjalistów bezpieczeństwa ze względu na szybkość i łatwą automatyzację.

Metoda „gruba” (thick WHOIS) gromadzi komplet danych domen w jednym rejestrze (np. dla *.pl), zaś metoda „chuda” (thin WHOIS) zwraca wskazanie właściwego serwera rejestratora, bez pełnych danych w rejestrze centralnym.

Poniżej najważniejsze ograniczenia tradycyjnego WHOIS:

  • brak kontroli dostępu – każdy może wykonać zapytanie do publicznych serwerów WHOIS,
  • brak weryfikacji integralności – protokół nie zapewnia podpisów czy walidacji treści odpowiedzi,
  • brak szyfrowania transmisji – połączenia nie są domyślnie zabezpieczone,
  • niestandardowy format odpowiedzi – każdy operator może zwracać inne pola i strukturę danych.

ICANN rozwija RDAP jako ustandaryzowaną i bezpieczną alternatywę, ale pełna migracja wymaga czasu.

Zawartość rekordów WHOIS i dostępne informacje

Rekord WHOIS może zawierać różne pola, zależnie od rejestru i jurysdykcji. Najczęściej spotykane elementy to:

  • registrar – nazwa rejestratora odpowiedzialnego za obsługę domeny;
  • registrant/abonent – właściciel domeny i jego dane kontaktowe (często zanonimizowane dla osób fizycznych);
  • admin-c – administrator domeny z uprawnieniami do zmian i decyzji administracyjnych;
  • tech-c – kontakt techniczny (często dostawca usług/ISP), bez pełnych praw administracyjnych;
  • zone-c – administrator strefy (przy własnym serwerze nazw delegowanym do domeny);
  • creation/updated/expiry date – data rejestracji, ostatniej modyfikacji i wygaśnięcia (zwykle z dokładnością do dnia);
  • nameservers (DNS) – serwery nazw, na które kieruje domena;
  • domain status – np. active, clientTransferProhibited, redemptionPeriod, quarantine.

WHOIS dla różnych typów domen – specyfika polskiego rynku

Zakres publikowanych danych różni się w zależności od TLD i przepisów lokalnych. Poniżej syntetyczne porównanie najczęstszych przypadków:

TLD / rejestr Dane osób fizycznych Dane firm E‑mail właściciela Uwagi
.pl / NASK ukryte domyślnie (RODO) publiczne (nazwa, adres, kontakt) zwykle widoczny dla firm; dla osób fizycznych – ukryty możliwa publikacja danych po wyrażeniu zgody; cesja pozwala zmienić typ abonenta
.eu / EURid zanonimizowane, ale widoczny adres e‑mail publiczne widoczny polityka zgodna z RODO/GDPR
.com/.net/.org (globalne) zależne od rejestratora; możliwe ukrycie (GDPR lub Privacy Protect) często publiczne lub częściowo ujawnione często maskowany lub zastępowany adresem pośrednim GDPR (bezpłatnie) ukrywa głównie dane osób fizycznych; Privacy Protect (płatnie) maskuje dane abonenta w całości

Domeny polskie z rozszerzeniem .pl

W rejestrze NASK dane osób fizycznych są domyślnie ukrywane, także przy działalności gospodarczej. Dane firm i organizacji są publiczne i obejmują nazwę, adres oraz kontakt. Na życzenie osoba fizyczna może upublicznić dane u rejestratora. Jeśli chcesz ukryć dane firmowe, wykonaj cesję domeny na osobę fizyczną.

Domeny europejskie z rozszerzeniem .eu

EURid stosuje politykę zgodną z RODO: firmy są jawne, natomiast dla osób fizycznych publikowany jest co najmniej adres e‑mail, a reszta danych jest zanonimizowana.

Domeny globalne (.com, .net, .org itd.)

Globalne TLD umożliwiają dwa tryby ochrony: GDPR/RODO (bezpłatne) oraz Privacy Protect (płatne). Privacy Protect zastępuje dane abonenta danymi operatora ochrony i zwykle dodaje blokadę transferu. Dla firm bezpłatny GDPR bywa niewystarczający – wówczas rekomendowana jest pełna ochrona prywatności.

Narzędzia i metody do sprawdzania informacji WHOIS

Podstawowe narzędzia webowe

Do szybkich sprawdzeń przydadzą się te serwisy:

  • NASK (dns.pl/whois) – oficjalne WHOIS dla .pl z CAPTCHA i kompletem danych rejestracyjnych,
  • EURid (eurid.eu/pl/) – oficjalne WHOIS dla .eu z informacjami zgodnymi z RODO,
  • who.is – agregator WHOIS dla wielu TLD z danymi o rejestratorze i ważnych datach,
  • whois.domaintools.com – rozbudowane funkcje: dane historyczne, reputacja, analizy,
  • whois.com – szybkie wyszukiwania WHOIS i dostępne podstawowe szczegóły.

Narzędzia wiersza poleceń

Tradycyjny dostęp zapewnia polecenie whois w systemach Unix/Linux. Przykład użycia:

whois example.pl

Połączenie z serwerem WHOIS na porcie 43 wykonasz także przez telnet lub netcat, choć dziś rzadziej – wygodniejsze są dedykowane klienty.

Praktyczne zastosowania WHOIS

Odkupywanie zajętych domen

WHOIS pomaga zidentyfikować właściciela domeny i kanał kontaktu, co ułatwia negocjacje zakupu. Dane historyczne WHOIS mogą pokazać długość rejestracji i zmiany właścicieli – to cenna wskazówka wartości domeny.

Weryfikacja wiarygodności i bezpieczeństwa

Specjaliści cyberbezpieczeństwa sprawdzają w WHOIS m.in. wiek rejestracji i rejestratora. Częste zmiany abonenta lub rejestru mogą sygnalizować ryzyko. Przydatne bywa porównanie z Wayback Machine (web.archive.org) i innymi źródłami.

Egzekwowanie praw autorskich i znaków towarowych

WHOIS jest podstawą w procedurach sporów domenowych (np. ICANN UDRP) oraz w działaniach związanych z naruszeniami własności intelektualnej.

Prywatność, GDPR i ochrona danych osobowych

RODO z 2018 r. trwale zmieniło sposób publikacji danych w WHOIS – w wielu rejestrach ograniczono lub zanonimizowano dane osób fizycznych, zachowując możliwość kontaktu poprzez adres pośredni.

Implikacje RODO/GDPR dla bazy WHOIS

Przykładowo DENIC (.de) zrezygnował z publikacji kontaktów Tech-C, Zone-C i Admin-C, udostępniając dwa bezosobowe adresy e‑mail do zapytań. Globalnie rejestratorzy wdrożyli bezpłatne ukrywanie danych osób fizycznych (GDPR), ale w przypadku firm zakres ujawnienia bywa różny.

Usługi prywatności domeny (WHOIS Privacy)

Ochrona prywatności (np. WHOIS Privacy/Protect/Guard) maskuje rzeczywiste dane abonenta, zastępując je danymi operatora usługi. Poniżej korzyści, które najczęściej decydują o jej włączeniu:

  • ochrona przed spamem – prawdziwe e‑maile i telefony nie są publiczne,
  • mniejsze ryzyko kradzieży tożsamości – ograniczenie ekspozycji danych wrażliwych,
  • mniej niechcianych kontaktów – redukcja telemarketingu i prób socjotechniki,
  • większe bezpieczeństwo offline – ważne dla osób pracujących z domu.

Warto znać też potencjalne wady tej ochrony:

  • problemy z certyfikatami OV – dane organizacji w WHOIS nie zgadzają się z danymi dla wystawcy SSL,
  • trudniejsze dochodzenia prawne – wolniejszy dostęp służb/pełnomocników do danych właściciela,
  • ryzyko utraty ważnej korespondencji – gdy aliasy e‑mail operatora prywatności są źle skonfigurowane.

Historyczne dane WHOIS i analiza zmian właścicieli

Dostęp do danych historycznych

DomainTools i SecurityTrails udostępniają archiwa WHOIS i interfejsy API (np. /history/{hostname}/whois), co ułatwia śledzenie zmian właściciela, rejestratora czy nameserverów w czasie.

Przy zakupie domeny na rynku wtórnym historia WHOIS ujawnia ryzyka – wiele transferów, skoki reputacji lub częste zmiany DNS mogą wskazywać nadużycia (spam, phishing).

Na co zwracać uwagę w danych historycznych

Analizując historię WHOIS, sprawdź w szczególności:

  • zmiany abonenta – częste rotacje mogą sugerować problemy z reputacją,
  • transfery między rejestratorami – duża liczba przenosin bywa czerwoną flagą,
  • historię nameserverów – nietypowe lub krótkotrwałe konfiguracje mogą oznaczać incydenty,
  • ciągłość czasową – długie przerwy w rejestracji lub gwałtowne zmiany statusów.

RDAP – nowoczesny następca protokołu WHOIS

RDAP (Registration Data Access Protocol) eliminuje kluczowe braki WHOIS: zapewnia HTTPS, zwraca dane w ustandaryzowanym JSON i umożliwia precyzyjną kontrolę dostępu.

Poniższa tabela porównuje najważniejsze różnice:

Cecha WHOIS RDAP
transport TCP 43, brak szyfrowania HTTPS (TLS), szyfrowanie end‑to‑end
format danych dowolny tekst, brak standardu pól ustrukturyzowany JSON, spójne schematy
kontrola dostępu brak natywnej kontroli dostęp warunkowy, redakcja danych („REDACTED FOR PRIVACY”)
integracja utrudniona (parsing tekstu) REST API, łatwe do automatyzacji

Implementacja RDAP w Polsce

NASK udostępnia RDAP dla .pl pod adresem: https://rdap.dns.pl/domain/{nazwa domeny}. Odpowiedzi zawierają m.in. pola rdapConformance, entities, events i nameservers, co ułatwia przetwarzanie w systemach zewnętrznych.

Bezpieczeństwo i ryzyka związane z WHOIS

Phishing i oszustwa wykorzystujące WHOIS

Atakujący często używają publicznych danych WHOIS do wiarygodnych kampanii phishingowych (np. „wygasająca domena”, fałszywe faktury). Zawsze sprawdzaj nadawcę i domenę e‑mail. Na przykład: wiadomość od LH.pl przyjdzie wyłącznie z adresu zakończonego na „@lh.pl”.

Oto typowe symptomy phishingu, na które warto uważać:

  • niezgodność domeny nadawcy – adres podobny do oryginału, ale z inną końcówką lub literówką,
  • presja czasu i groźby – komunikaty o natychmiastowym wygaśnięciu i blokadzie usługi,
  • podejrzane linki lub załączniki – skracacze URL, załączniki ZIP/EXE,
  • brak personalizacji – ogólne zwroty typu „Szanowny Kliencie” zamiast danych konta.

Spam i negatywne wykorzystania

Publiczne dane WHOIS bywają źródłem kampanii spamowych i telemarketingu. Włączenie ochrony prywatności znacząco ogranicza ten problem i poprawia bezpieczeństwo operacyjne.

Raportowanie i działania informacyjne

Zgłaszaj incydenty phishingu i nadużycia do CSIRT NASK i CERT Polska. Szybkie raportowanie pomaga ostrzec użytkowników i zablokować złośliwe domeny.

Praktyczne narzędzia i techniki weryfikacji domen

Kompleksowa analiza domeny

Przed zakupem lub wykorzystaniem domeny wykonaj wieloetapową weryfikację:

  • Wayback Machine – sprawdzenie historii treści i wykrycie spamowisk lub infekcji;
  • Ahrefs / Majestic – analiza profilu linków i identyfikacja toksycznych backlinków;
  • Google Transparency Report – informacja o flagach bezpieczeństwa nadanych domenie;
  • MX Toolbox – weryfikacja rekordów MX, SPF, DKIM, DMARC;
  • DNS Checker (dnschecker.org) – globalna propagacja i diagnostyka DNS;
  • Spamhaus i inne blacklisty – sprawdzenie, czy domena/IP nie figurują na listach blokujących.

Monitorowanie domeny

Po przejęciu domeny wdrażaj stały monitoring kluczowych elementów:

  • WHOIS/RDAP – zmiany w danych abonenta, statusach i datach wygaśnięcia,
  • DNS – modyfikacje rekordów A/AAAA, MX, NS, TXT i poprawność delegacji,
  • SSL/TLS – ważność certyfikatów, algorytmy i konfiguracja,
  • reputacja/blacklisty – alerty o wpisaniu domeny lub IP na listy blokujące.

Podobne artykuły