24/7-Support
FAQ
 Dashboard
Kontoguthaben:    
Wenn deine Domain zum Spielplatz für Fremde wird: DNS-Wildcards und GitHub Pages

Wenn deine Domain zum Spielplatz für Fremde wird: DNS-Wildcards und GitHub Pages

Mai 19, 2026 dns security github pages domain hijacking web hosting best practices dns configuration cybersecurity

Wenn Subdomains zu Spielwiesen für Fremde werden: Wildcard-DNS und GitHub Pages

Du bist unterwegs in Afrika mit schlechter Verbindung. Alles läuft gut – bis eine Mail von Google Search Console reinkommt. Jemand anderes soll jetzt ein Subdomain deiner Domain nutzen.

Das klingt nach einem Szenario aus dem Lehrbuch. Tatsächlich hat genau das einen Entwickler getroffen, der seine statische Seite über GitHub Pages hostete. Während er offline war, wurde kafka.immersivepoints.com von jemand anderem besetzt und mit fremden Inhalten bestückt. Er bemerkte es erst Wochen später.

Einfachheit schlägt Sicherheit

GitHub Pages ist beliebt, weil es statische Seiten ohne Serveraufwand ermöglicht. Du legst DNS-Einträge an, verweist auf GitHub und das war’s. Auch dieser Entwickler nutzte die Bequemlichkeit – und richtete ein Wildcard-DNS-Record (*.immersivepoints.com) ein.

Die Annahme war nachvollziehbar: Nur wer die Domain besitzt, kann auch Subdomains nutzen. Bei GitHub Pages stimmt das aber nicht.

GitHub akzeptiert jeden CNAME

Das Problem liegt tief in der Funktionsweise: GitHub bedient Inhalte zu jedem beliebigen CNAME in jedem beliebigen Repository, sobald die DNS-Records auf GitHubs IPs zeigen. Es gibt keine Prüfung, ob derjenenige auch wirklich die Domain besitzt.

Ein anderer GitHub-User legte einfach ein Repository mit einem CNAME für kafka.immersivepoints.com an. GitHub spielte mit – und belieferte so fremde Inhalte unter fremder Domain. Sogar aus einem privaten Repository, which means die Entdeckung erschwerte.

Wildcard-DNS ohne Kontrolle

Wildcard-Records sind praktisch,但也带来麻烦。 Sie sagen: „Alles unter dieser Domain soll zu diesem Service“. In Verbindung mit GitHub’s laissez-faire-CNAME-Handling entsteht eine Kombination, which means jeder mit einem GitHub-Account potenziell Subdomains unter deiner Domain besetzt.

In diesem Fall nutzte jemand das aus und hostete Scam-Seiten unter der fremden Subdomain. Search-Engines ahnten nichts davon und konnten die Seiten indexieren – was sich langfristig negativ auf die Reputation der Domain auswirken könnte.

Wie es auffiel

Die Rettung kam durch Google Search Console. Nur dank dieser Einrichtung bekam er die Benachrichtigung. Tanzt man ohne Monitoring um den heißen Brei herum, können solche Missbräuche über Monaten hinweg laufen.

Monitoring ist kein Performance-Tool, sondern eine Bezahlung für Sicherheit.

GitHubs Lösung ist halbherzig

GitHub hat zwar eine Domain-Verifizierung, sie ist aber nur in den Kontoeinstellungen zu finden – nicht in den Repository-Settings. Viele Nutzer finden sie nicht. GitHub sollte:

  1. Warnungen anzeigen, wenn ein Custom-Domain noch nicht verifiziert ist
  2. Verifizierung erzwingen, bevor Content ausgeliefert wird
  3. DNS-TXT-Records als Ownership-Nachweis verlangen

Der Entwickler erstattete Anzeige bei GitHub, but the response was slow and transparent was lacking.

Was du tun solltest

Wenn du GitHub Pages mit Custom-Domain nutzt, folge dieser Liste:

✓ Wildcard-DNS vermeiden – besser spezielle A- oder CNAME-Records für die Subdomains setzen, die du brauchst.

✓ Deine Domain verifizieren – nicht nur im Repository,而是在 den Kontoeinstellungen.

✓ DNS-TXT-Records einrichten – damit Ownership beweisen und für Angreifer die Hürde erhöhen.

✓ Monitoring einrichten – über Google Search Console oder ähnliche Dienste und Alerts für neu indizierte Seiten unter deiner Domain.

✓ GitHub Pages-Konfiguration regelmäßig prüfen – welche Repositories mit CNAMEs unter deiner Domain existieren und welche wirklich auf dich laufen.

✓ Bei kritischen Projects überlegen – ob GitHub Pages wirklich die richtige Wahl ist。 Für Domains mit strict control bietet Selbsthosting oder ein anderer Provider mehr Sicherheit.

Was wir daraus lernen sollten

DNS-Setup ist nicht nur ein Schritt beim Einrichten. Ein Wildcard-Record wirkt schnell und einfache, aber er übergibt GitHub quasi einen Master-Key zu allen Subdomains unter deiner Domain.

Das zeigt auch, wie wichtig bessere Security-Defaults bei Plattformen sind. GitHub Pages ist einfach – aber die Verifizierung sollte nicht hinterrückig in den Kontoeinstellungen stattfinden, 而是应被 front-and-center in den Repository-Settings sein.

这个预防bar. 只要你 mit ordentlicher DNS-Konfiguration und Domain-Verifizierung umgehst, kannst du die Vorteile von GitHub Pages weiterhin enjoyen.

Vergiss das Monitoring nicht.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN