# Domain-Verifizierung für shop.asbh.de

Domain-Verifizierung für shop.asbh.de: 0/5 Methode(n) bestanden, 3 empfohlene Methode(n), Claim bleibt getrennt vom öffentlichen Report.

> Dieses Paket ist ein Betreiber-Blueprint. Es führt keinen echten Claim aus, vergibt keine Rollen und akzeptiert keine Secrets. Produktive Verifizierung braucht serverseitige Token, Auditlog, MFA und Missbrauchsschutz.

## Methoden
- [ ] **DNS TXT Record** (DNS/Admin): _saferpage.shop.asbh.de TXT saferpage-verification=sp-verify-f9d35b3681d1046ab75696e9
- [ ] **Well-Known Datei** (Webbetrieb): https://shop.asbh.de/.well-known/saferpage-verification.txt mit Inhalt saferpage-verification=sp-verify-f9d35b3681d1046ab75696e9
- [ ] **HTML Meta Tag** (CMS/Frontend): <meta name="saferpage-domain-verification" content="sp-verify-f9d35b3681d1046ab75696e9">
- [ ] **Admin-E-Mail Freigabe** (Legal/Domain Owner): admin@, webmaster@, postmaster@ oder im Impressum/Datenschutzhinweis genannter Kontakt bestätigt Claim.
- [ ] **Kanonische Kurz-URL bestätigen** (Website-Betrieb/SEO): https://saferpage.de/shop.asbh.de bleibt einziger öffentlicher Report-Link; technische Varianten leiten um oder bleiben noindex.

## Rollen nach Verifizierung
- **Viewer**: Reports, Exporte und Nachweise lesen.
- **Operator**: Re-Scans, Monitoring, Tickets und Integrationen vorbereiten. MFA erforderlich.
- **Admin**: Rollen, API-Zugriff, Integrationen und Public Links freigeben. MFA erforderlich.

## Security Controls
- [ ] Claim ändert keine Scan-Ergebnisse: Betreiberrechte dürfen öffentliche Befunde nicht löschen oder weichzeichnen.
- [ ] Rollen minimal vergeben: Viewer, Operator, Admin und API-Rollen getrennt freigeben.
- [ ] Claim-Auditlog führen: Methode, Zeitpunkt, Prüfwert-Hash, Prüfer und Rollenwechsel protokollieren.
- [ ] Keine Secrets im Export: Nur Challenge-Referenzen und Hashes ausgeben, keine Session- oder API-Tokens.
- [ ] Regelmaessig rezertifizieren: Domain-, DNS-, Agentur- und Owner-Wechsel können Kontrolle ändern.