Allt du behöver veta om WHOIS

WHOIS

WHOIS är ett av de mest grundläggande verktygen på internet för att hitta information om domännamn, IP-adresser och andra resurser. Namnet ”WHOIS” kommer från engelskans ”who is” – vem är det? Protokollet och databaserna bakom det ger insyn i vem som äger eller administrerar en webbplats, en server eller ett nätverkssegment. I denna omfattande artikel går vi igenom allt från historik och teknik till praktisk användning, integritetspåverkan och framtiden med RDAP. Oavsett om du är webbutvecklare, säkerhetsexpert, domäninvesterare eller bara nyfiken – här får du en komplett guide.

Historien bakom WHOIS

WHOIS har rötter ända tillbaka till de tidiga dagarna av ARPANET, föregångaren till dagens internet. Redan på 1970-talet behövde administratörer ett sätt att snabbt hitta kontaktuppgifter till användare och resurser på nätverket. Elizabeth Feinler och hennes team vid Stanford Research Institute (SRI) Network Information Center (NIC) skapade det första directoriesystemet för att hantera denna information.

Den formella standardiseringen kom 1982 med RFC 812, följt av RFC 954 år 1985. Protokollet definierades som ett enkelt textbaserat query/response-system som körs över TCP-port 43. Ken Harrenstien och Vic White från SRI spelade en nyckelroll i utvecklingen. När internet exploderade på 1990-talet och ICANN (Internet Corporation for Assigned Names and Numbers) bildades 1998 blev WHOIS centralt för att hantera den växande domänmarknaden.

Under de första decennierna var WHOIS relativt öppet. Alla kunde hämta fullständig information om registranter – namn, adress, telefonnummer och e-post. Detta skapade transparens men också problem med spam, identitetsstöld och trakasserier. Med EU:s dataskyddsförordning GDPR 2018 förändrades landskapet dramatiskt, något vi återkommer till senare.

Hur fungerar WHOIS tekniskt?

WHOIS är ett enkelt protokoll. En klient (du via kommandorad eller webbverktyg) ansluter till en WHOIS-server på port 43 och skickar en fråga, till exempel ”example.com”. Servern svarar med en textsträng som innehåller registreringsdata. Det finns inga avancerade autentiseringsmekanismer i det klassiska protokollet, vilket är både en styrka (lättillgängligt) och en svaghet (svårt att kontrollera åtkomst).

Systemet är hierarkiskt:

  1. Root-servers (t.ex. whois.iana.org) dirigerar frågan till rätt toppdomän (TLD).
  2. Registries (t.ex. Verisign för .com) hanterar TLD-nivån.
  3. Registrars (t.ex. GoDaddy, Namecheap) hanterar de faktiska kundregistreringarna och tillhandahåller ”thick” records med full information.

Det finns skillnad mellan thin och thick WHOIS-records. Thin records innehåller bara grundläggande data från registryt (registrar, status, namnservrar), medan thick records från registraren inkluderar kontaktuppgifter.

För IP-adresser fungerar det liknande men via Regional Internet Registries (RIR): ARIN (Nordamerika), RIPE NCC (Europa), APNIC (Asien-Stillahavsområdet) med flera.

Vad innehåller en WHOIS-record?

En typisk WHOIS-uppslagning ger en mängd strukturerad information. Här är de vanligaste fälten:

  • Domain Name: Det exakta domännamnet.
  • Registrar: Företaget som hanterade registreringen (t.ex. GoDaddy).
  • Creation Date / Registered On: När domänen registrerades.
  • Updated Date: Senaste uppdatering.
  • Expiration Date: När den löper ut.
  • Name Servers: DNS-servrar som pekar domänen (t.ex. ns1.example.com).
  • Domain Status: Statuskoder enligt EPP (Extensible Provisioning Protocol), som ”clientTransferProhibited” (skydd mot stöld).
  • Registrant: Ägarens namn, organisation, adress, e-post, telefon (ofta redigerat p.g.a. integritet).
  • Admin Contact och Tech Contact: Administrativa och tekniska kontaktuppgifter.
  • DNSSEC: Information om säkerhetstillägg.

Exempel på en förenklad record (för en offentlig domän):

Domain Name: EXAMPLE.COM
Registrar: EXAMPLE REGISTRAR LLC
Creation Date: 1995-08-13T00:00:00Z
Expiration Date: 2026-08-13T00:00:00Z
Name Server: NS.ICANN.ORG
Registrant: REDACTED FOR PRIVACY

Många fält är idag ”REDACTED FOR PRIVACY” på grund av GDPR.

Praktisk användning av WHOIS

WHOIS används dagligen inom många områden:

Säkerhet och cybersäkerhet: Identifiera källan till phishing, DDoS eller spam. Säkerhetsteam kollar ofta WHOIS för att se om en domän är nyregistrerad (vanligt vid attacker) eller har historik av missbruk.

Domänforsknings och investering: Innan du köper en domän kollar du ägarhistorik, utgångsdatum och eventuella tvister. Verktyg som DomainTools erbjuder historisk WHOIS-data tillbaka till 1990-talet.

Felsökning: Se vilka namnservrar en domän använder eller om den är aktiv.

Juridik och brottsbekämpning: Myndigheter använder WHOIS för att spåra brottslingar, upphovsrättsintrång eller bedrägerier.

Journalistik och transparens: Undersöka vem som står bakom en webbplats som sprider desinformation.

IP-WHOIS: För IP-adresser får du information om ägarorganisation (ofta ISP), geografisk plats (grov), abuse-kontakt och nätblock (CIDR).

Hur gör man en WHOIS-uppslagning?

Det finns flera sätt:

Kommando rad (CLI)

På Linux/Mac/Windows (med verktyg installerat):

whois example.com
whois 8.8.8.8
whois -h whois.ripe.net AS15169  # För ASN

Flaggor som -H döljer disclaimers, -h specificerar server.

Webbaserade verktyg

  • whois.com
  • icann.org/lookup
  • who.is
  • DomainTools (avancerad med historik)

Dessa hanterar ofta referral automatiskt och presenterar data snyggt.

API:er

Många tjänster erbjuder JSON-baserade API:er för automatisering, särskilt användbart i säkerhetsverktyg och monitorering.

Integritet, GDPR och förändringar

GDPR (2018) var en game changer. Personuppgifter i WHOIS betraktas som persondata, vilket ledde till att ICANN införde Temporary Specification med redaktion av personlig information. Idag är de flesta registranter skyddade bakom privacy-tjänster från registrars som ”WhoisGuard” eller ”Privacy Protect”.

Fördelar: Mindre spam och trakasserier.
Nackdelar: Svårare att spåra missbruk, vilket påverkar säkerhetsarbete. Law enforcement får tillgång via speciella processer.

Den 28 januari 2025 fasades WHOIS-protokollet officiellt ut för många gTLD (generic Top-Level Domains) till förmån för RDAP (Registration Data Access Protocol). RDAP använder HTTPS, JSON-struktur, bättre stöd för redaktion och tiered access (olika nivåer beroende på behörighet). Det är mer modernt och säkrare än det gamla textbaserade WHOIS.

WHOIS för IP-adresser och ASN

WHOIS är inte bara för domäner. För en IP som 8.8.8.8 (Googles DNS) får du:

  • Ägarorganisation (Google LLC)
  • Nätblock
  • Abuse-kontakt
  • Land och region

RIR-databaser skiljer sig något från domän-WHOIS. RIPE NCC, ARIN etc. har egna policies. Reverse DNS (in-addr.arpa) används för att mappa IP tillbaka till domännamn.

Vanliga problem och tips

  • Ofullständig data: Privacy-skydd gör många records värdelösa för kontakt.
  • Falsk information: Registranter kan ange felaktiga uppgifter (whois-fraud).
  • Rate limiting: Servrar begränsar förfrågningar för att förhindra missbruk.
  • Olika format: Data varierar mellan registrars och registries.
  • Historik: Använd tjänster med arkiv för att se tidigare ägare.

Tips: Använd alltid flera källor. Kombinera med DNS-lookup, passive DNS och threat intelligence. För avancerad analys – betaltjänster som DomainTools eller WhoisXML API.

Framtiden: RDAP och bortom

RDAP löser många av WHOIS begränsningar:

  • Strukturerad data (lättare att parsa).
  • Inbyggd stöd för internationella tecken (IDN).
  • Bättre säkerhet och autentisering.
  • Differentierad åtkomst – forskare eller myndigheter kan få mer data.

ICANN driver på övergången, och många ser RDAP som standarden framöver. Samtidigt diskuteras balans mellan transparens och integritet fortsatt. Vissa föreslår ”layered access” där legitima intressen kan begära utökad information.

Andra utvecklingar inkluderar blockchain-baserade domänsystem (t.ex. Handshake) som kan ha helt andra WHOIS-liknande mekanismer, och ökande användning av AI för att analysera stora mängder WHOIS-data i realtid.

Etiska och legala aspekter

Att använda WHOIS är generellt lagligt, men missbruk (t.ex. massuppslagning för spam) kan bryta mot villkor. I vissa jurisdiktioner är det straffbart att ange falska uppgifter vid registrering. För säkerhetsforskare är det viktigt att följa responsible disclosure.

Organisationer som ICANN, registries och registrars har policies för hur data får användas. Vid tvister (UDRP för domännamn) spelar WHOIS en central roll som bevis.

Exempel i praktiken

Låt oss titta på en populär domän som google.com. En WHOIS-uppslagning visar registrering hos MarkMonitor, lång historik sedan 1997, starka skydd och Googles kontaktuppgifter (ofta redigerade). För en ny phishing-domän ser du kanske registrering för bara dagar sedan, privacy-skydd och billig registrar – röda flaggor för säkerhetsteam.

För en IP från en botnet kan du snabbt hitta abuse-kontakt hos ISP:n och rapportera.

Sammanfattning och bästa praxis

WHOIS förblir ett oumbärligt verktyg trots förändringar. Det ger transparens i ett annars anonymt internet, men balanseras nu mot starka integritetsskydd. För att använda det effektivt:

  1. Lär dig kommandoraden för snabba sökningar.
  2. Använd webbverktyg för användarvänlighet.
  3. Kombinera med andra OSINT-verktyg (Open Source Intelligence).
  4. Håll dig uppdaterad om RDAP och policyförändringar.
  5. Respektera integritet och använd data ansvarsfullt.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Senaste inläggen:

Fler tjänster:

Länkar:

Sociala Medier:

Kontakt:

[email protected]