Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

DNS Privacy: DNS-innovaties ter bescherming van je privacy

En de controverse rondom DNS over HTTPS

Handen die een toetsenbord bedienen waarboven virtuele security-iconen zichtbaar zijn

DNS Privacy is een ‘hot topic’ binnen de internetgemeenschap. Diverse innovaties ter verbetering zagen de afgelopen jaren het levenslicht. Een recente ontwikkeling, DNS over HTTPS (DoH) springt er opvallend uit en leidde tot controverse. We leggen uit hoe het zit.

De afgelopen jaren is hard gewerkt aan het verhogen van de veiligheid van het DNS-protocol. Zo zorgt DNSSEC ervoor dat het vervalsen van DNS-antwoorden nagenoeg onmogelijk wordt. Inmiddels is ruim 53% van alle ruim 5,8 miljoen .nl-domeinnamen hiermee beveiligd. Maar DNSSEC beschermt niet tegen het afluisteren van het verkeer. En wie mee kan kijken met het DNS-verkeer van een gebruiker, leert ontzettend veel over zijn of haar internetgedrag, zelfs als de rest van het verkeer versleuteld wordt. Dit vormt een inbreuk op de privacy.

De hernieuwde aandacht voor privacy initieerde een reeks DNS-innovaties onder de noemer ‘DNS privacy’. Deze komen er grotendeels op neer dat DNS-verkeer tegen meekijken wordt afgeschermd. De verschillende technieken die hiervoor zijn bedacht beschrijven we een separaat achtergrondartikel.

DNS-privacy gaat dus met name over het afschermen van DNS-verkeer. In de meeste gevallen komt dat neer op versleutelde communicatie, bijvoorbeeld met behulp van TLS. Maar ook binnen een HTTPS-verbinding kan DNS-verkeer tegenwoordig op een gestandaardiseerde manier plaatsvinden.

Controverse rondom DNS over HTTPS (DoH)

Dit zogenaamde DNS over HTTPS (DoH) is een opmerkelijke ontwerpkeuze, die de nodige wenkbrauwen heeft doen fronzen. Op die controverse gaan we hier wat dieper in.

De bedenkers van DoH hadden bepaalde scenario’s in hun achterhoofd. Denk bijvoorbeeld aan een statelijke actor, die meegluurt en eventueel valse DNS-informatie probeert te injecteren. Of denk een ISP die DNS-data van gebruikers doorverkoopt aan derden.

Hiertegen wil DoH zich weren. Het idee is dat het DNS-verkeer als het ware meelift in versleuteld HTTPS-verkeer en gestuurd wordt naar een (externe) resolver die voldoende wordt vertrouwd; de zogenaamde Trusted Recursive Resolver (TRR). Er wordt dus geen apart protocol, of een apart poortnummer voor gebruikt. Het DNS-verkeer is daardoor niet meer te onderscheiden en ingrijpen (filteren) wordt zodoende lastiger gemaakt.

Daarbij wordt voorbij gegaan aan het feit dat er ook hele legitieme redenen zijn om DNS-verkeer te filteren. Denk bijvoorbeeld aan een DNS-filter dat gebruikers behoedt voor het bezoeken van malafide websites. In bepaalde netwerken hebben systeembeheerders moeite gestoken in het beschermen van gebruikers met behulp van dit soort DNS-firewalls. Maar met DoH kunnen die eenvoudig worden gepasseerd, soms zelfs zonder dat de gebruiker dit bewust doet. En dat is tegen het zere been van de systeembeheerders, die daardoor problemen voorzien bij de bescherming van hun netwerk.

De waarde van DNS

DNS is belangrijk en dat verklaart een aantal van de recente ontwikkelingen, onder meer op het gebied van DoH. Ten eerste is dit protocol natuurlijk onmisbaar voor de goede, soepele werking van het internet. Maar het dient ook, zoals hierboven vermeld, als aangrijpingspunt om gebruikers te beveiligen.

DNS is daarnaast ook een effectieve manier om gebruikers te profileren. En gebruikersgedrag is geld waard. Hoewel in Nederland niet echt een gangbare praktijk, zijn er in andere landen ISP’s die het surfgedrag van hun gebruikers in kaart brengen op basis van hun DNS-verkeer. Die informatie kunnen ze verkopen aan adverteerders.

DNS resolving (als een dienst) is dus een interessante potentiele markt of op zijn minst een uiterst waardevolle bron van informatie. Dit verklaart wellicht dat bedrijven als Google, CloudFlare en Quad9 zich hier enthousiast op hebben gestort.

DNS-dienst in je webbrowser

De werking van DNS speelt ook een rol bij de gebruikerservaring. Een slecht presterend DNS, zal een trager ladende webpagina opleveren. Makers van webbrowsers weten dit. Ze streven naar een zo goed mogelijke gebruikerservaring en daarom heeft DNS ook hun bijzondere aandacht.

Softwareleveranciers van bijvoorbeeld Chrome, FireFox of zelfs Android, willen veiligheid, privacy en een goede gebruikerservaring bieden aan hun gebruikers. Ze zijn zelf aan de slag gegaan met DNS en hebben versleutelde ‘privacy-vriendelijke’ DNS ingebouwd in hun producten. Ze hebben daarbij merendeels1 gekozen voor DNS over HTTPS. Immers, HTTPS kennen ze heel goed ze kennen daarvan de diverse mogelijkheden. Hun enthousiasme verklaart de opvallend snelle ontwikkeling en adoptie van het DoH-protocol.

Google heeft zelf een grote publieke DNS-dienst en gaat die ongetwijfeld voor zijn producten inzetten. Mozilla heeft daarentegen gekozen voor een samenwerking met CloudFlare als ‘Trusted Recursive Resolver’ (TRR). Nu nog als experimentele verborgen optie, die standaard uitgeschakeld is. Maar men denkt er serieus over na om dit te veranderen.

Uiteraard heeft CloudFlare er belang bij dat hun publieke DNS resolver-dienst aan zo’n bekende browser als FireFox is gekoppeld. Zelf promoot CloudFlare zijn dienst daarnaast ook nog met onder andere mobiele apps voor Android en iOS.

Als we in de inderdaad gaan zien dat grote bedrijven als Google en Mozilla eigenhandig het DNS-verkeer binnen hun producten gaan afhandelen via voorkeurspartijen of eigen services, buiten de bestaande traditionele kanalen om, dan heeft dat nogal wat gevolgen en dan zien we ook hier een verdere centralisatie van het internet.

Gemende reacties

De reacties op bovenstaande ontwikkelingen zijn gemengd. Ze roepen weerstand op bij security-experts en deskundigen op het gebied van privacy. Sommigen vallen over de samenwerking tussen Mozilla en CloudFlare, omdat ze geen vertrouwen hebben in de vermeende goede bedoelingen van met name het commerciële CloudFlare. Ze stellen dat de Trusted Recursive Resolver van CloudFlare het privacy-probleem hooguit verplaatst, maar niet oplost.

Anderen wijzen op operationele risico’s, zoals schaalbaarheid of netwerkbeveiliging. Ze willen niet dat hun gebruikers, al dan niet onbewust, terecht komen bij een niet door hen beheerde DNS-resolver.

Juristen vragen zich af of zaken niet strijdig zijn met de AVG/GDPR of met regels rondom netneutraliteit.

De criticasters willen op zijn minst meer keuzevrijheid voor de gebruiker. Ze vrezen dat gebruikers alsnog ten prooi vallen aan commerciële bedrijven die het gemunt hebben op hun surfgedrag, terwijl juist het idee was dat die gebruiker zich daaraan zou kunnen onttrekken. Terecht stellen ze vast dat gebruikers bij gebruik van DoH juist extra kunnen worden ‘gefingerprint’ - vanwege de extra informatie die kan worden meegeven bij een connectie. Daarmee zouden ze qua privacy dus van de regen in de drup kunnen komen.

Want wat zijn de consequenties als FireFox inderdaad per default en ongevraagd DNS over HTTPS gaat uitrollen in samenwerking met CloudFlare 1.1.1.1 ? Dat is een commerciële onderneming, met aandeelhouders, die valt onder Amerikaans recht. Hoe veilig is de DNS-data daar op termijn? En welke regelgeving garandeert dat? In Nederland zijn ISP’s gehouden aan de AVG/GDPR. Maar hoe zit dat elders?

Verlies van controle

Zoals al aangegeven wordt controle op het DNS-verkeer ook dikwijls te goeder trouw gebruikt om netwerken te beveiligen. Met behulp van DNS-firewalls kan worden voorkomen dat de gebruiker naar een malafide website wordt geleid, of naar een site gaat die volgens het geldende security-beleid niet mag worden bezocht. Of er kan worden ingegrepen als een IoT-apparaat ineens onderdeel wordt van een botnet en instructies gaat ontvangen via het DNS of data gaat lekken naar buiten toe via het DNS. Dat geldt bijvoorbeeld ook voor ons eigen SPIN-project. Bij een ongecontroleerde wildgroei van DNS over HTTPS, komt zo’n beveiligingsbeleid onder druk te staan en is het lastiger te handhaven.

Wat vanuit operationeel perspectief eveneens zorgen baart, is het idee dat applicaties, zoals de browser, eigenhandig met externe resolver-diensten gaan communiceren in plaats van centraal, via een uniforme methode. Dit vertroebeld het beeld en maakt foutopsporing ingewikkelder. En hoewel dit niet exclusief een DoH-probleem is, zien we dit juist met DoH nu wel gebeuren.

Kortom, genoeg vragen

Bovenstaande verklaart waarom juist DNS over HTTPS tot controverses heeft geleid. Als techniek is het simpel, laagdrempelig en doeltreffend. Maar tegelijkertijd zijn er vragen en kanttekeningen rondom de praktische toepassing ervan en de razendsnelle ontwikkelingen zoals die zich nu voltrekken.

Het is nog te vroeg voor definitieve conclusies, want het kan nog alle kanten op. Hoe het uitgekristalliseerde plaatje eruit zal zien is onzeker. Zeker is dat er behoorlijk ingrijpende veranderingen zullen plaatsvinden. Het is daarom van belang deze ontwikkelingen te blijven volgen en te duiden en waar mogelijk in de juiste richting bij te sturen. Vanuit SIDN Labs zullen we ons daar ook in de komende tijd sterk voor maken.

Meer technische achtergrondinformatie bij dit onderwerp.

1 Yandex heeft gekozen voor DNScrypt.

Artikel door:

Marco Davids

Marco Davids

Research engineer

Thymen Wabeke

Research engineer

Cristian Hesselman

Cristian Hesselman

Directeur SIDN Labs