Addio WHOIS, RDAP è ufficiale: cosa cambia per i tuoi domini

Se l'altro giorno hai aperto un terminale, digitato whois nomemiosito.com e ti sei ritrovato con poche righe striminzite invece del solito dump pieno di dati, non è il tuo client a essere rotto. Dal 28 gennaio 2025 il protocollo WHOIS, in piedi dal 1982, è ufficialmente in pensione per i domini gTLD. Al suo posto c'è RDAP, e nove mesi dopo il sunset il sorpasso è completo: già a giugno 2025 le query RDAP superavano quelle WHOIS, a settembre 374 gTLD avevano spento del tutto il vecchio servizio.

La notizia è passata sotto traccia, ma riguarda chiunque registri domini, automatizzi monitoraggi o scriva tooling che dipenda dai dati di registrazione. E ha un risvolto molto specifico che vale la pena capire prima di mettere mano agli script.

La cronologia del sunset

Il calendario è stato fissato dal Board ICANN il 30 aprile 2023 con la risoluzione che ha mandato avanti i Global Amendments al Base gTLD Registry Agreement, alla Specification 13 e al 2013 Registrar Accreditation Agreement. Tradotto: tutti i registry e i registrar che firmano un contratto con ICANN per un dominio di primo livello generico (.com, .net, .org, .io, .app, i new gTLD) si sono impegnati a esporre RDAP e a poter spegnere WHOIS.

I passaggi chiave:

• 30 aprile 2023 - ICANN Board approva gli emendamenti RDAP.
• 28 gennaio 2025 - data ufficiale del sunset. Da qui in poi RDAP è la sola sorgente necessaria di Registration Data Directory Services (RDDS) per i gTLD. Chi vuole può tenere WHOIS acceso, ma non è più tenuto a farlo.
• Febbraio 2025 - 74 registry gTLD chiudono il servizio WHOIS nel giro di poche settimane.
• Giugno 2025 - per la prima volta nella storia, le query RDAP globali superano quelle WHOIS.
• Settembre 2025 - 374 gTLD non offrono più il WHOIS in alcuna forma.

Per la prima volta da quarant'anni il modo predefinito di chiedere "chi ha registrato questo dominio" non è più una connessione TCP grezza sulla porta 43.

RDAP vs WHOIS: le tre differenze che contano

Sotto il cofano cambia molto, ma le tre cose che impattano davvero sul lavoro quotidiano sono queste.

1. Trasporto e formato

WHOIS è un protocollo minimale, ASCII, query-response su TCP/43, senza autenticazione e con risposta in testo libero pensato per essere letto da umani. Ogni registrar lo formatta a modo suo, e ogni parser è una raccolta di regex fragili.

RDAP gira su HTTPS, segue uno schema REST e risponde in JSON strutturato. La query base è un semplice GET:

curl -Ls https://rdap.org/domain/example.com | jq .

Il servizio di bootstrap (rdap.org) fa il forwarding al registry giusto, in modo che non si debba sapere a priori chi gestisce un dato TLD. La risposta è una struttura definita con campi nominali per registrant, status, eventi (creation, expiration, last update), nameserver, link.

2. Privacy by design

Il WHOIS classico è un dump indistinto: chiunque interroga riceve la stessa risposta. Dopo il GDPR i registry hanno risposto redatando tutto, e oggi il valore informativo del WHOIS per un .com è spesso solo "Redacted for Privacy".

RDAP nasce strutturato proprio per essere differenziato. Il server può restituire risposte diverse in funzione dell'identità del richiedente (HTTP Basic, OAuth 2.0, certificati X.509) e dei criteri di accesso definiti dal registry. In pratica: un member di un'autorità di sicurezza con credenziali abilitate può vedere i contatti completi del registrant, mentre una query anonima riceve i campi pubblici e nient'altro. La selezione avviene per-campo, non per-bulk.

3. Internazionalizzazione e estensibilità

WHOIS era nato in epoca pre-Unicode e gestiva male i nomi a dominio IDN (internazionalizzati) e i contatti con caratteri non ASCII. RDAP è UTF-8 by default e supporta estensioni standardizzate (ICANN, IANA, registry locali) senza rompere il parsing dei client esistenti.

Una tabella rapida per chi automatizza

E il dominio .it? Sta in una posizione tutta sua

Qui sta il punto che la maggior parte degli articoli in inglese dimentica. ICANN ha autorità sui gTLD, non sui country-code TLD. I ccTLD (.it, .de, .fr, .uk, e così via) sono gestiti da registry nazionali che decidono in autonomia se e come deprecare il WHOIS.

Per il .it il registry è Registro.it, l'unità che opera all'interno dell'Istituto di Informatica e Telematica del CNR e che dal 1987 gestisce circa 1,4 milioni di domini italiani. Il loro database, il DBNA (Database dei Nomi Assegnati), continua a essere esposto sia in WHOIS sia in RDAP. La consultazione web pubblica vive su web-whois.nic.it e il regolamento d'uso menziona esplicitamente "WHOIS/RDAP" come servizio unico ai fini d'uso.

Cosa significa in pratica:

• whois miosito.com su un terminale può restituirti molto poco o niente, a seconda del registrar.
• whois miosito.it continua a funzionare come ha sempre fatto, con i campi titolare/admin/tech disponibili nei limiti previsti dal regolamento del Registro e dal GDPR.
• Il WHOIS del .it non ha un sunset ufficiale annunciato. Chi gestisce automazioni su domini italiani non ha urgenza di migrare, ma sarebbe imprudente programmare nuovo codice contro un protocollo che il resto dell'industria ha lasciato indietro.

Se hai un portafoglio misto (qualche .it, qualche .com, qualche new gTLD per il marketing), è già adesso più semplice fare tutto in RDAP e affidarsi al bootstrap che gestisce entrambi i mondi.

Cosa controllare oggi se hai automazioni

Il problema non si nota finché qualcosa non si rompe. Se gestisci tooling che tocca i dati di registrazione, vale la pena fare un giro veloce:

• Script di monitoring. Controlla i job che fanno whois mio-dominio.com per estrarre data di scadenza, nameserver o status. Su gran parte dei gTLD oggi tornano dataset vuoti o solo "Domain Status". Sostituisci con una chiamata RDAP e un parser JSON: una riga di jq '.events[] | select(.eventAction == "expiration") | .eventDate' ti restituisce la scadenza in modo strutturato.
• Strumenti per la sicurezza. Se la tua incident response cerca contatti tramite WHOIS per notificare un abuso, sappi che con RDAP i campi sono ancora redatti per richieste anonime ma esiste un percorso documentato per accesso autenticato. Il SOC di un MSP può chiedere accreditamento al registry e ottenere risposte più ricche.
• Validazione SSL e tooling certificate-management. Le CA che fanno verifica DCV via dati di registrazione si sono già spostate a RDAP. Se hai uno script di rinnovo che legge il WHOIS prima di richiedere il certificato, riscrivilo. Per il quadro più ampio dei tempi di rinnovo, ricorda che dal 13 maggio 2026 Let's Encrypt emette certificati a 45 giorni: RDAP plus rinnovi più rapidi vuol dire automatizzare meglio o automatizzare male.
• Tool interni di OSINT, due diligence, brand protection. Se la tua libreria Python sta importando python-whois da cinque anni, è il momento di aggiungere o sostituire con whoisit, rdapclient, oppure chiamare direttamente https://rdap.org/domain/<name> via httpx.

Comando di test che funziona ovunque tu sia, senza dipendenze:

# gTLD: i campi tornano completi (modulo redazioni privacy)
curl -Ls https://rdap.org/domain/google.com | jq '{handle, ldhName, status, events}'

curl -Ls https://rdap.org/domain/spaziorc.com | jq '{handle, ldhName, status}'

Per i domini italiani il flusso rimane lo stesso; per tutto il resto del portafoglio, RDAP è già la nuova default.

Conclusione

Il sunset del WHOIS non è una semplice sostituzione di protocollo. È il momento in cui i dati di registrazione dei domini smettono di essere un dump open-access concepito quando Internet aveva qualche migliaio di nodi, e diventano un servizio strutturato, autenticabile, conforme alle leggi sulla privacy. La maggior parte degli utenti non si accorgerà di nulla. Chi gestisce automazioni, security tooling o cataloghi di domini sì, e ha avuto un anno e mezzo di preavviso.

Da oggi in poi, quando devi sapere chi ha registrato un dominio, il primo riflesso non è più whois. È RDAP.