Strato: AuthCodes – Gratwanderung zwischen Sicherheit und Komfort

Strato steht hier eigentlich mehr stellvertretend für diverse Hoster, denn das Problem haben viele. Zum einen möchte sie das Domains schnell und einfach umgezogen werden können. Aber möglichst nicht weg von ihnen, sondern nur zu ihnen. Den Wunsch nach Sicherheit und Zwei-Faktor-Authentifizierung verstehe ich auch, aber es nervt enorm, wenn ein technischer Akt künstlich verkompliziert wird.

Dabei ist so ein AuthCode/AuthInfo eigentlich ganz simpel. Damit ich eine Domain umziehen kann, muss ein AuthCode generiert werden. Mit diesem AuthCode kann ich dann zu einem anderen Hoster gehen und die Domain übertragen. Damit das nur der Besitzer/die Besitzerin der Domain machen kann, muss ich mich mit dem AuthCode eben autorisieren. Daher der Name.

Hoster kommen jetzt auf die unmöglichsten Ideen, was vorher passieren muss, um den AuthCode zu bekommen. Bei Strato muss ich zum Beispiel die Domain kündigen und dann kann ich den AuthCode anfordern, was allerdings per Mail an die E-Mail-Adresse des Pakets (oder der Domain?) geschieht.

Dabei können jetzt mehrere Dinge massiv schief gehen:

1. Beim Kündigen der Domain kann ein Folgeprozess ausgewählt werden. Das ist ist aber NICHT „Domain kündigen“ (obwohl wir das ja gerade machen), sondern „Anbieter wechseln“.

Sie können auswählen zwischen den Optionen „Domain kündigen“ und „Anbieter wechseln“.

Wenn Sie die Domain kündigen möchten, dann leitet STRATO die Löschung der Domain bei der Registrierungstellete [sic!] ein. Die Kündigung muss zusätzlich vom Domaininhaber bestätigt werden, dieser erhält dazu eine separate E-Mail zugesandt.

Wenn Sie Ihre Domain zu einem anderen Anbieter umziehen möchten, müssen Sie bei diesem Anbieter Ihren AuthInfo-Code eingeben. Beachten Sie, dass bei einem Domian-Umzug alle Inhalte, E-Mail-Adressen und Subdomains zu Ihrer Domain unwiderruflich gelöscht werden.

2. Die E-Mail im Paket ist nicht mehr aktuell und muss aktualisiert werden. So wie es aussieht geht das inzwischen online. Früher (oder in bestimmten Verträgen?) war das nur via PDF/Scan möglich und dauerte entsprechend lang.

3. Und der AuthCode gilt nur 30 Tage. Und diese Frist sollte unbedingt eingehalten werden, denn sonst wird es teuer:

Bitte ziehen Sie Ihre Domain vor dem Auslaufdatum um, da diese sonst in das Transit-Verfahren der DENIC übergeht. Die DENIC wird für das Transit-Verfahren Gebühren von 116 € erheben, falls Sie die Domain nicht löschen oder umziehen.

Aber selbst dann bekommst du nicht einfach den AuthCode zum Kopieren angezeigt, sondern er kommt per Mail. Und zwar nicht sofort, sondern in den nächsten 24 Stunden. Das meinen die ernst. Nicht „bis zu“ 24 Stunden, sonder eher „in 24 Stunden“.

Der angeforderte AuthInfo-Code wird innerhalb 24 Stunden an die E-Mail-Adresse des Domaininhabers gesendet.

Ich finde Sicherheit ja auch gut. Eine Info-Mail an den Betreiber oder meinetwegen auch ein Bestätigungslink, der per Mail kommt und angeklickt werden muss, um den Prozess zu starten, ist definitiv sicherer. Aber eine Zwangspause von 24 Stunden? Für einen AuthCode, den ich anderswo direkt heraus kopieren kann? Warum?

Ich bin ja froh, dass ich nicht mit einer Liane über eine Schlucht schwingen, gegen einen Tiger kämpfen und eine 12-stellige Primzahl mit der linken Hand, rückwärts auf eine Schiefertafel kratzen soll, um den AuthCode zu bekommen … aber schneller wäre das schon als das was Strato hier verlangt.

Das Ganze erinnert mich ein wenig an die Diskussion um das target="_blank" – da gab es den schönen Satz: „Wenn die Leute nach einem Klick ohne diese Technik nicht mehr zu deiner Website zurück gehen, dann liegt das vielleicht eher an deiner Website und nicht an der Technik.“

Übertragen auf den AuthCode bedeutet das: Wenn jemand wechseln möchte, dann geht er. Ihr könnt die Prozesse noch so umständlich machen. Das wird eher die Meinung bestätigen, hier besser schnell zu wechseln. Oder positiv formuliert: Wer auch diesen Prozess einfach gestaltet, optimiert und freundlich nach Gründen fragt, wird mit wichtigen Informationen über eigene Verbesserungspotentiale versorgt oder bewegt sogar jemanden doch nicht zu wechseln.

Aber bitte hört auf diesen Prozess absichtlich steinig zu machen. Als jemand, der berufsbedingt ständig Umzüge machen muss, sage ich euch: Es nervt kolossal und macht meinen Arbeitsalltag sehr umständlich. Ich möchte schnell den AuthCode kopieren können. Alternativ den Kunden direkt danach anrufen und die Info geben, dass er eben gerade eine Mail bekommen hat und bitte einmal auf den Link klicken soll, denn dann geht es weiter. Zwangspausen von 24 Stunden, die keinen technischen Grund haben (Oder?) und PDFs, die ausgefüllt, gefaxt oder gescant und gemailt werden müssen, sind nicht mehr zeitgemäß.

Gerne dürfen sich hier auch andere Hoster angesprochen fühlen und ihre Prozesse überdenken.

Habe ich etwas übersehen oder falsch beschrieben? Oder weiß jemand mehr über die Gründe? Korrigiert mich gerne in den Kommentaren!

Oder hast du noch schlimmere Vorgaben bei einem Hoster erlebt? Teilt eure Schauergeschichten 🙂


Dieser Artikel ist Teil der Serie: Hosting-Adventskalender
Alle Artikel findest du über das Schlagwort Adventskalender

2 Antworten auf Strato: AuthCodes – Gratwanderung zwischen Sicherheit und Komfort

  1. Jüngst in einem Projekt gelernt: Bei wordpress.com muss die Domain erst entsperrt (für den Umzug vorbereitet) werden, dann kann ein AuthCode angefordert werden, der per eMail an den Inhaber geschickt wird. Und dann muss das im Backend nochmal zusätzlich bestätigt werden, damit der Umzug getriggert wird. Bis ich letzteren Schritt rausgefunden hatte, waren ein paar Tage im Land, die einen verwundert zurücklassen, warum denn nix passiert.

  2. Ich hatte gestern auch eine schöne Strato-Erfahrung: Um eine über Strato registrierte *.es-Domain umzuziehen, muss ich laut Strato-Support selbst eine E-Mail an den Registrar dominios.es schicken. Wie fehleranfällig ist das denn? Spoofing, Spam-Filter, da kann ja einiges schiefgehen.

    (Es kann natürlich auch am Registrar selbst liegen, aber bei anderen ausländischen TLDs habe ich das so noch nie erlebt.)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.