JPKCom DB

DNS, SSL, Redirect & URL — Manual

Vollständige Funktionsbeschreibung: DNS-Records, SSL-Zertifikate und Header, Redirect-Ketten, URL-Parser, Slug- und SPF-Generator — mit allen Betriebsgrenzen.

Zurück zur Übersicht: DNS, SSL, Redirect & URL · Tool live öffnen: www.jpkc.com/tools/dns-ssl-redirect-url/

Dieses Manual beschreibt alle fünf Tabs vollständig: was sie abfragen, wie du die Ergebnisse liest und welche technischen Grenzen gelten. Die Oberfläche des Tools ist auf Englisch — die Tab- und Button-Bezeichnungen stehen deshalb hier in ihrer englischen Original-Schreibweise (mit deutscher Erläuterung), damit du dich im echten Interface zurechtfindest.

Architektur und Grenzen vorab

Drei Tabs (DNS, SSL / Security, Redirect) holen Daten aus dem Netz und laufen daher über die JPKCom-Server; zwei Tabs (URL, SPF — und der Slug-Generator) rechnen rein im Browser.

  • DNS-Abruf: Ein serverseitiger PHP-Endpunkt löst die Records mit dns_get_record() auf und gibt JSON zurück.
  • SSL- und Redirect-Abruf: Ein serverseitiger cURL-Proxy (p.php) ruft die Zielseite ab; das Tool wertet die Roh-Daten im Browser aus.
  • Authentifizierung: Vor jedem Server-Request holt das JavaScript über p-api.php ein frisches, tageweise rotierendes Token (gültig in einem 5-Minuten-Fenster), das Referer-geprüft ist. Diese Endpunkte sind kein öffentliches API — sie funktionieren nur aus dem Tool heraus.
  • SSRF-Schutz: Private, Loopback-, Link-local-, reservierte und CGNAT-Adressen (RFC 1918, 127/8, 169.254/16, 100.64/10, IPv6 fc00::/7, fe80::/10, ::1) werden blockiert — beim DNS-Reverse-Lookup, beim SSL-/Redirect-Abruf und bei Redirects auf jedem Hop erneut. Erlaubt sind nur http/https.
  • Limits: maximal 10 Redirect-Hops (Schleifen werden erkannt), 15 s Timeout pro Abruf, maximale URL-Länge 3072 Zeichen, Domain-Länge 253 Zeichen. Eine clientseitige Drossel lässt nur etwa 1 Anfrage pro Sekunde zu; im Expert-Modus (siehe unten) entfällt sie.
  • Privatsphäre: Die geprüfte Domain sieht den JPKCom-Server, nicht deine IP.

Expert Mode (optional)

Das Tool unterstützt einen optionalen Expert Mode über einen selbst betriebenen lokalen Proxy (LocalProxy auf http://127.0.0.1:<port>). Ist er aktiv, holen SSL und Redirect ihre Daten über diesen lokalen Proxy statt über den JPKCom-Server, und die clientseitige Drossel entfällt. Die Einrichtung ist fortgeschritten und für den normalen Betrieb nicht nötig; der DNS-Tab nutzt den lokalen Proxy nicht.

DNS — DNS-Records abfragen

Im DNS-Tab gibst du eine Domain (z. B. example.com) oder eine IP-Adresse ein und wählst rechts den Record-Typ. Mit Lookup fragst du genau diesen Typ ab, mit Check All die wichtigsten Typen auf einmal.

Einzelabfrage (Lookup)

Im Dropdown stehen die Typen A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR, NAPTR, ANY. Das Ergebnis enthält die gefundenen Records mit allen Feldern (z. B. bei MX pri und target, bei SOA mname, rname, serial, refresh, retry, expire, minimum-ttl), die Anzahl der Treffer und einen Zeitstempel.

Check All — Komplettabfrage

Check All fragt nacheinander A, AAAA, CNAME, MX, NS, TXT, SOA, SRV und CAA ab und ergänzt vier Zusatz-Checks, sofern sie etwas finden:

  • www (A) — der A-Record der www.-Subdomain.
  • DMARC (TXT) — der TXT-Record unter _dmarc.<domain>.
  • DKIM (TXT) — der Record unter default._domainkey.<domain>, aber nur, wenn er tatsächlich mit v=DKIM beginnt.
  • Wildcard (A) — geprüft wird, ob eine zufällige Subdomain auflöst; falls ja, wird der Eintrag als *.<domain> dargestellt (Hinweis auf einen Wildcard-DNS-Eintrag).

Für IP-Adressen ist Check All deaktiviert (Record-Typen gelten nur für Domains).

Reverse-Lookup (PTR) und IDN

Gibst du eine IP-Adresse ins Domain-Feld ein, schaltet das Tool den Record-Typ automatisch auf PTR um und baut die Reverse-Adresse (…in-addr.arpa für IPv4, …ip6.arpa für IPv6). Reverse-Lookups sind nur für öffentlich routbare IPs möglich — private, Loopback- und reservierte Bereiche werden abgewiesen. Internationalisierte Domains (Umlaute o. Ä.) werden vor der Abfrage nach Punycode umgewandelt; das Ergebnis weist die Unicode- und die Punycode-Form aus.

Ausgabe: JSON- oder Zone-Ansicht

Standardmäßig erscheint das Ergebnis als JSON in einem schreibgeschützten CodeMirror-Editor. Zone schaltet auf eine BIND-artige Zonendatei um (ausgerichtete Spalten: Name, TTL, Class, Type, Data). Über die Buttons Copy (JSON oder Zone), JSON (als Datei speichern) und Save Zone sicherst du das Ergebnis.

SSL / Security — Zertifikat und Header

Im SSL / Security-Tab gibst du eine Domain (das https:// ist vorangestellt) ein und klickst Check SSL. Der Server ruft die Seite ab und liefert die Roh-Daten; das Tool baut daraus mehrere Karten:

  • Connection — URL, ggf. finale URL nach Weiterleitung, IP-Adresse, HTTP-Statuscode und Protokoll-Version (HTTP/1.0, /1.1, /2 oder /3).
  • Certificate — Common Name, Organisation (falls vorhanden), Aussteller (Issuer), Valid From und Valid Until mit verbleibenden Tagen (grün, ab ≤ 30 Tagen gelb, abgelaufen rot), Signature (Signatur-Algorithmus), Public Key (Schlüssel-Algorithmus) und das Verifikations-Ergebnis (OK oder ein konkreter Fehlertext wie „Certificate has expired", „Self-signed certificate", „Hostname mismatch").
  • Subject Alternative Names — alle im Zertifikat hinterlegten DNS-Namen und IP-SANs als Liste.
  • Certificate Chain — die Kette vom Server-Zertifikat über Intermediate CA(s) bis zur Root CA, je mit Subject und Issuer.
  • Security Headers — neun Header werden geprüft: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy. Ein Zähler-Badge zeigt „vorhanden/gesamt" (ab 6 grün, ab 3 gelb, sonst rot). Vorhandene Header werden zusätzlich inhaltlich validiert — etwa HSTS auf max-age ≥ 1 Jahr und includeSubDomains/preload, CSP auf unsafe-inline/unsafe-eval/HTTP-Quellen, X-Content-Type-Options auf nosniff — und mit OK-, Warn- oder Fehler-Badge markiert. Fehlende Header bekommen einen kurzen Hinweis, wovor sie schützen würden.
  • Timing — DNS Lookup, TCP Connect, SSL Handshake, Pretransfer, Start Transfer und Total.
  • Server — Server-, X-Powered-By-, Via-, X-Cache-, Cf-Ray-, X-Served-By- und Content-Type-Header, soweit vorhanden.
  • Raw Headers — die kompletten Roh-Antwort-Header, aufklappbar.

Schlägt die Verbindung fehl, erscheint statt der Karten ein Fehler-Alert mit cURL-Fehlercode und -beschreibung; SSL-spezifische Fehler werden als solche markiert. Mit Copy JSON / Save JSON sicherst du das Ergebnis. Der SSL-Abruf läuft mit 15 s Timeout.

Redirect — Weiterleitungskette verfolgen

Im Redirect-Tab gibst du eine URL ein und klickst Trace Redirects. Der Server folgt der Kette Hop für Hop (ohne Location automatisch zu folgen, sondern jeden Schritt einzeln), bis zu 10 Hops. Pro Hop siehst du:

  • Hop-Nummer und die URL dieser Station,
  • den Statuscode (farbig nach 2xx/3xx/4xx/5xx),
  • ein HTTPS- oder HTTP-Badge,
  • die IP-Adresse, das Timing und den Server-Header,
  • bei HTTPS-Hops den Zertifikats-Namen (certCN) mit Restlaufzeit in Tagen,
  • die Roh-Header dieses Hops (aufklappbar).

Relative Location-Weiterleitungen werden zu absoluten URLs aufgelöst. Wird eine bereits besuchte URL erneut angesteuert, bricht das Tool mit dem Hinweis „Redirect loop detected" ab. Ein Hop, der auf eine private/interne Adresse zeigt, wird als „Blocked redirect target" abgewiesen. Der letzte Hop (kein 3xx mehr) wird als Endpunkt markiert. Copy JSON / Save JSON sichern die ganze Kette.

URL — Parser und Slug-Generator

Dieser Tab arbeitet vollständig im Browser, ohne Server-Abruf.

URL-Parser

Mit Parse URL zerlegt das Tool eine Adresse über die JavaScript-URL-API in ihre Bestandteile: href, protocol, hostname (bei IDN zusätzlich hostname (Unicode)), port (oder „(default)"), pathname, search, hash, origin, host, username und password (maskiert als ***). Fehlt ein Protokoll, wird https:// ergänzt. Darunter listet eine Tabelle alle Query-Parameter als Schlüssel-Wert-Paare, und ein Encoding-Block zeigt die Adresse encodeURI- und decodeURIComponent-aufbereitet. Alle Felder sind editierbar; Copy JSON kopiert die Struktur.

URL-Slug-Generator

Der URL Slug Generator wandelt beliebigen Text live (während du tippst) in einen URL-tauglichen Slug. Er behandelt deutsche Umlaute (ä→ae, ö→oe, ü→ue, ß→ss), zerlegt akzentuierte Zeichen per Unicode-Normalisierung (é→e, ñ→n …), ersetzt alle übrigen Sonderzeichen durch den Separator (- oder _), fasst Mehrfach-Separatoren zusammen und schneidet sie an den Rändern ab. Eine Zeichen-Zählung steht darunter; Copy kopiert den Slug.

SPF — SPF-TXT-Record bauen

Der SPF-Tab erzeugt live einen gültigen v=spf1-Record — ebenfalls rein clientseitig. Du konfigurierst links das Formular, rechts aktualisiert sich der Record sofort.

  • All Policy (Catch-all): -all (Fail, für Produktion empfohlen), ~all (SoftFail, Default, fürs Testen), ?all (Neutral), +all (Pass — ausdrücklich nicht empfohlen) oder „None" (weglassen). Unter dem Auswahlfeld erklärt ein Hinweistext die gewählte Policy.
  • Own Mail Servers — Checkboxen für a (der A-Record der Domain sendet Mail) und mx (die MX-Server senden Mail; standardmäßig aktiv).
  • Mail Providers — 16 Ein-Klick-Presets: Google, Microsoft 365, Amazon SES, SendGrid, Mailchimp, Postmark, Brevo, Mailgun, Zoho, HubSpot, Salesforce, Mailjet, SparkPost, Klaviyo, Fastmail und Proton Mail. Jedes Preset fügt seinen include:-Mechanismus hinzu.
  • Custom include: und IP Addresses — eigene include:-Zeilen sowie beliebig viele ip4:-/ip6:-Einträge.
  • Advanced — ein redirect= (verweist die Policy auf eine andere Domain; ersetzt die All-Policy) und ein freies Feld für zusätzliche, space-getrennte Mechanismen.

Rechts zeigt eine Statistik-Zeile zwei Live-Werte: DNS lookups (x/10, ab 8 gelb, über 10 rot) und Length (Zeichen, ab 300 gelb, über 450 rot). ip4:/ip6: kosten keine Lookups, alles andere je einen. Der Generator warnt bei mehr als 10 DNS-Lookups, bei über 450 Zeichen, bei +all und beim Konflikt redirect= plus All-Policy. Eine DNS-Entry-Karte fasst zusammen, wie der Record einzutragen ist (Typ TXT, Host @, der Wert, TTL 3600). Copy kopiert den Record; Verify DNS springt in den DNS-Tab und stellt dort den Typ auf TXT, damit du deinen veröffentlichten Record direkt nachschlagen kannst.

Betriebsgrenzen — kompakt

  • Privatsphäre: Abrufe laufen über den JPKCom-Server; die Zielseite sieht nicht deine IP.
  • SSRF-/Private-IP-Schutz: private, lokale, reservierte und CGNAT-Adressen werden geblockt (DNS-Reverse, SSL, jeder Redirect-Hop); nur http/https.
  • Limits: max. 10 Redirect-Hops, 15 s Timeout pro Abruf, URL ≤ 3072 Zeichen, Domain ≤ 253 Zeichen.
  • Drossel: clientseitig ~1 Server-Anfrage pro Sekunde (im Expert-Modus aus).
  • Token: tageweise rotierend, 5-Minuten-Fenster, Referer-geprüft — kein öffentliches API.
  • Ohne Server nutzbar: URL-Parser, Slug-Generator und SPF-Generator rechnen komplett im Browser.

Für das große Bild und die Zielgruppen siehe die Übersicht. Konkrete Abläufe stehen in den Beispielen, Kniffe in den Tipps & Tricks. Ausprobieren kannst du alles direkt im Tool.