Ik zoek de houder van een domeinnaam. Waar vind ik die?
Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).
Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.
Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?
Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.
Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?
Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.
Waarom staat mijn domeinnaam in quarantaine?
Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.
Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.
Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?
Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.
Waaraan moet ik voldoen als registrar?
Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.
Firefox stuurt voor gebruikers in de VS het DNS-verkeer naar de resolvers van Cloudflare en maakt hiervoor gebruik van DNS-over-HTTPS (DoH). Hiertegen is veel weerstand vanuit netwerkbeheerders. Zij vrezen controleverlies over hun netwerken en hebben privacygerelateerde bezwaren. Als reactie biedt Firefox netwerkbeheerders de mogelijkheid te voorkomen dat DNS-verkeer via DoH naar Cloudflare wordt gestuurd. In deze blog post beantwoorden we de vraag of netwerkbeheerders hier ook daadwerkelijk gebruik van maken.
Met DNS-over-HTTPS (DoH) wordt DNS-verkeer versleuteld verstuurd. Sinds 2018 experimenteert Mozilla hiermee ook in hun internetbrowser Firefox. Terwijl DoH een goede techniek is om gevoelig DNS-verkeer te versleutelen, veroorzaakt de manier hoe Mozilla DoH implementeert veel negatieve reacties. Mozilla wil namelijk standaard DNS-verkeer doorsturen aan de DNS-resolvers van Cloudflare. Gevolg hiervan is dat verkeer óm de resolver van het lokale netwerk of providers zoals KPN of Ziggo heen gaat. Door van dit normale pad af te wijken willen ze voornamelijk bereiken dat netwerkbeheerders of internet service providers (ISP’s) het DNS-verkeer dat ze verwerken ongevraagd meelezen of zelfs verkopen– iets wat in de VS vaak voorkomt.
Tegenstanders van deze aanpak beklagen zich voornamelijk over 2 dingen: ten eerste wordt mogelijk gevoelige DNS-verkeer omgeleid via een Amerikaanse partij. En ten tweede, worden lokale maatregelen omzeild. Deze maatregelen hebben bijvoorbeeld als doel phishingwebsites te blokkeren of bepaald netwerkverkeer lokaal af te handelen. DNS is namelijk niet alleen een manier om het IP-adres van een website te vinden, maar ook vaak een werktuig van beheerders om internetverkeer in hun eigen netwerk te controleren. Deze controle wordt omzeild als Firefox standaard DNS-aanvragen niet meer naar de resolver van het lokale netwerk stuurt maar naar Cloudflare.
Meer controle voor netwerkbeheerders
Als reactie hierop nam Mozilla verschillende maatregelen. Zo wordt DoH in eerste instantie alleen uitgerold voor gebruikers in de VS. Een andere maatregel is de introductie van het 'canary domain' use-application-dns.net.
Het canary-domein werkt als volgt: Firefox probeert het IP-adres van deze domeinnaam op te vragen. Als dit niet lukt, stuurt de browser ook geen DNS-verkeer via DoH naar Cloudflare, maar gebruikt de resolver die op het bestuurssysteem is ingesteld. Over het algemeen is dat de resolver van het lokale netwerk. Beheerders krijgen dan het DNS-verkeer weer ‘terug’ over de oude route als ze use-applition-dns.net blokkeren.
Via boze reacties op social media en woedende brieven van Amerikaanse ISP’s weten we dat er wat tegenstanders zijn van de manier waarop Mozilla DoH implementeert. Maar als we zouden kunnen meten, hoeveel resolvers het canary-domein use-application-dns.net tegenhouden, weten we ook hoeveel tegenstanders van Mozilla’s aanpak er daadwerkelijk zijn, omdat ze er wat aan doen.
Gelukkig is er een oplossing: het publieke meetnetwerk RIPE Atlas. Dit bestaat uit meer dan 10.000 ‘probes', waarmee we bij SIDN Labs DNS-queries naar het canary-domein hebben gestuurd. We gebruiken daarbij de resolvers die geconfigureerd zijn in het lokale netwerk. Probes zijn verdeeld in netwerken over de hele wereld, maar vooral in Europa en in de VS. Het is daarom een goede manier om in deze 2 gebieden de tegenstand te meten.
In de VS wordt het vaakst geblokkeerd
Toen we in september 2019 onze metingen startten, hield maar zo’n 4% van de resolvers het domein tegen. Deze week is het al 9%, wat goed te zien is in Figuur 1.
Figuur 1: Probes waarvan de resolvers het canary-domein tegenhouden.
Vooral sinds eind februari dit jaar groeit het aantal blokkerende resolvers weer. Toen maakte Mozilla namelijk bekend te starten met het aanzetten van de DoH-standaard voor gebruikers in de VS. Eerder gold dat alleen voor enkele gebruikers van de ontwikkelaarversies van Firefox. Het is daarom ook niet verrassend dat we in Noord-Amerika de meeste resolvers zien die het canary-domein tegenhouden: bijna 13%.
Figuur 2: Probes per continent waarvan de resolvers het canary-domein tegenhouden.
Maar in Figuur 2 zien we ook, dat zelfs in Europa nog 9.5% van de resolvers de domeinnaam blokkeren. Toch een beetje verrassend, aangezien Mozilla DoH hier überhaupt niet standaard aanzet en op dit moment ook geen plannen heeft om dat te doen.
Wie blokkeert DoH?
In Europa vallen vooral de Franse ISP Orange en de Belgische ISP Telenet op. Zij blokkeren het canary-domein standaard voor hun klanten. In de VS lijkt de op twee na grootste kabelprovider COX DoH van Firefox tegen te houden. In Nederland zien we geen ISP die dit op grote schaal doet.
In sommigen gevallen wordt het canary-domein niet door resolvers in het lokale netwerk tegengehouden, maar door resolver-diensten. OpenDNS biedt bijvoorbeeld publieke resolvers aan, die onder andere queries naar bekende malafide domeinnamen tegenhouden. OpenDNS blokkeert het canary-domein, omdat anders de bescherming die OpenDNS biedt omzeild kan worden.
Hoe effectief wordt er geblokkeerd?
Om DoH in Firefox op een effectieve manier tegen te houden moeten netwerkbeheerders ervoor zorgen dat álle resolvers in hun netwerk het canary-domein tegenhouden. Dit gebeurt vaak niet: 20% van de netwerken blijken naast een resolver die het canary-domein blokkeert ook nog een resolver te draaien die queries naar het canary-domein toelaat. Hier zou Firefox dus kunnen concluderen dat DoH via Cloudflare wel vanuit die netwerken is toegestaan, terwijl dat niet zeker is. Het blokkeren van het canary-domein door de netwerkbeheerder is daarom niet altijd effectief.
Conclusie
Is de tegenstand tegen Mozilla’s DoH plannen zo sterk als de reacties op internet doen vermoeden?
Op basis van onze metingen kunnen we concluderen dat in ieder geval in de VS een deel van de DNS-beheerders wil voorkomen dat hun DNS-queries hun eigen resolvers omzeilen. Echter lijkt de grote meerderheid hier (nog) geen bezwaar tegen te hebben.
Hier kunnen verschillende redenen voor zijn. Aan de ene kant wordt de privacy van veel gebruikers in de VS beter beschermd als Firefox hun DNS-queries standaard naar Cloudflare stuurt in plaats van naar hun eigen ISP. Veel gebruikers in de VS hebben er daarom een belang bij dat DoH-standaard aanstaat. Aan de andere kant heeft Firefox in de VS nog maar een marktaandeel van rond 9%. Als Mozilla DoH voor alle gebruikers aanzet is de impact hiervan daarom relatief klein. Ook dat zou een reden kunnen zijn waarom de meerderheid van de ISP’s het canary-domein (nog) niet tegenhoudt.
Ook in Europa zien we al wat weerstand, zelfs zonder dat Mozilla DoH hier heeft aangezet. In vergelijking met de VS mag DNS-verkeer in Europa niet zomaar voor andere doeleinde worden gebruikt. Daarnaast zouden meer mensen mogelijk ook wantrouwig staan tegenover Amerikaanse providers als Cloudflare. Dat zou kunnen verklaren waarom we nu al veel resolvers zien die het canary-domein blokkeren. Sommige ISP’s vrezen ook controleverlies, wat te zien is aan de maatregelen die Orange en Telenet al namen. Daarnaast laten de metingen uit beide regio’s ook zien dat DNS een belangrijk tool blijft om netwerkverkeer te filteren en te managen: 9% van de resolvers in onze metingen gebruiken DNS-filteringtechniek om het canary-domein tegen te houden.
In de tussentijd heeft Mozilla aangekondigd misbruik van het canary-domein in de gaten te houden. Als het domein grootschalig geblokkeerd wordt, bijvoorbeeld om DNS-verkeer nog steeds te kunnen verkopen, zou Mozilla kunnen overwegen om DoH alsnog overal aan te zetten zonder de check op het canary-domein. Dit laat ook goed zien, dat het canary-domein geen perfecte oplossing is. Aan de ene kant wil Mozilla eindgebruikers tegen misdragende netwerkbeheerders beschermen. Maar aan de andere kant geeft Mozilla ook dezelfde netwerkbeheerders een werktuig, om de bescherming uit te schakelen. We blijven deze ontwikkelingen daarom nauwlettend volgen.
