Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Goede dingen hebben tijd nodig

Een update over onze publieke NTP-dienst TimeNL

Mannenhand past de tijd aan op een witte wekker

Waarschijnlijk maakt iedereen die een internetaansluiting heeft, vroeg of laat op een of andere manier gebruik van het NTP-protocol. En velen vertrouwen hiervoor op de verborgen kracht van het publieke NTP-pool-initiatief. Deze pool is een belangrijk element onder de motorkap van het internet, dat overeind gehouden wordt door veel vrijwillige deelnemers. Bij SIDN Labs dragen we hier, met 28 servers wereldwijd, ook enthousiast aan bij. Tijd voor een update over onze NTP-dienst, TimeNL.

Een van de kernprotocollen van het internet

Het NTP (Network Time Protocol) is het meest gebruikte protocol voor het synchroniseren van de tijd op computersystemen en je komt het op de gekste plekken tegen (dus ook in je Philips Hue of IKEA Trådfri). Daarmee is het, net als bijvoorbeeld het DNS (Domain Name System) of IP (Internet Protocol versie 4 en 6) een van de kernprotocollen die de basis vormen voor het internet.

Toch is er wel een verschil. Waar het gebruik van (autoritatief) DNS en (verdelen van) IP centraal zijn geregeld, via heldere structuren en organisaties zoals ICANN, RIPE of SIDN, kennen we een dergelijke structuur feitelijk niet voor NTP . Het protocol wordt weliswaar onderhouden binnen de IETF, maar er zijn weinig centrale afspraken over het aanbieden of toepassen ervan. Opmerkelijk, want NTP is niet meer weg te denken uit ons hedendaags bestaan en (publieke) NTP-diensten zijn broodnodig en moeten dus ergens vandaan komen. Dat is gelukkig ook zo, maar misschien is dat wel meer geluk dan wijsheid. Op zich is dit wel verklaarbaar. Immers; bij DNS en IP hebben we het over unieke identifiers, die nauwe afstemming vereisen om überhaupt goed te kunnen werken. Bij NTP is dat geen vereiste. En er gaat ook (meestal) niet onmiddellijk iets stuk, als NTP-diensten onverhoopt tijdelijk niet beschikbaar zijn.

Maar toch is het interessant dat een dienst waar zoveel van afhangt en die zo ongekend populair en succesvol is, tegelijkertijd zo vrijblijvend is opgezet. Hoe zit dit? En wat betekent dit?

Hoe NTP wordt aangeboden

Zoals gezegd is vrijwel elk computersysteem gebaat bij een besef van de juiste tijd. En, mits het systeem beschikt over een netwerkverbinding, is NTP daarvoor de geëigende manier. Voor extreem hoge precisie bestaan er ook andere oplossingen, maar voor verreweg de meeste systemen volstaat NTP, dat een precisie van milliseconden kan bereiken.

Dit robuuste protocol is bijna net zo oud als het DNS-protocol. Voorheen vertrouwden de meeste systemen op een ingebouwde klokchip, die naarmate de tijd verstreek zomaar flink uit de pas kon gaan lopen. Geleidelijk groeide echter de behoefte aan een betere tijdsynchronisatie en NTP maakte dit mogelijk. Dit bracht enkele universiteiten en specialistische bedrijven, maar bijvoorbeeld ook NIST, het National Institute of Standards and Technology (sinds 1993) en USNO, de United States Naval Observatory, er lang geleden al toe om publieke NTP-diensten aan te bieden op het internet. Dit werkte als een katalysator en gaf het gebruik van NTP een impuls. In de begindagen was dit alles voornamelijk nog een Amerikaans feestje en de aanbieders waren organisaties die voor hun eigen werk al veel belang hadden bij een goede tijdmeting. Later breidde zich dit uit naar andere landen en organisaties. Zo bieden in Nederland onder andere SURFnet en het metrologisch instituut VSL tegenwoordig ook een publieke NTP-dienst aan, zij het zonder veel ruchtbaarheid. In andere landen gebeuren vergelijkbare dingen. Bovengenoemde lijst is dan ook verre van compleet. Sinds 2019 maakt SIDN Labs ook deel uit van deze lijst. Als groot fan van de fundamenten en bouwstenen van het internet leveren ook wij een publieke NTP-dienst: TimeNL.

Rond de eeuwwisseling groeide het aantal systemen dat gebruik wilde maken van deze publieke NTP-servers explosief. Het ging zo hard, dat rond 2003 organisaties problemen kregen met het stabiel in de lucht houden van hun publieke NTP-diensten en zich terugtrokken. Dat was aanleiding om na te denken over een nieuwe aanpak, waarbij een wereldwijd cluster van vele NTP-servers werd voorzien, waar iedereen die dat wilde vrijwillig servers aan kon bijdragen. Dit werd de inmiddels zeer succesvolle en bekende NTP-pool, waaraan vandaag de dag wereldwijd ruim meer dan 4.300 servers deelnemen. Allemaal vrijwillig en belangeloos. Ook ontstond er met het dalen van hardware-prijzen en de komst van compacte gps-ontvangers een markt voor NTP-servers die bedrijven in hun eigen netwerken kunnen installeren. Maar ook talloze hobbyisten werden daardoor in staat gesteld een eigen server te draaien en deze desgewenst als publieke NTP-dienst aan te bieden (al dan niet als onderdeel van de NTP-pool). Ook sommige ISP’s, bieden een NTP-server aan.

Daar bleef het niet bij. Grote tech-reuzen, zoals Apple, Google, Microsoft maar sinds enige tijd ook Cloudflare en Facebook, bieden inmiddels allemaal publieke NTP-diensten aan. Veelal ten behoeve van hun eigen producten. Je kunt je voorstellen dat het, met de grote aantallen apparaten die door hen worden verkocht, om behoorlijk imposante NTP-infrastructuren gaat. Daarnaast is er een flinke markt van allerhande andere apparaten waaronder heel veel goedkope embedded devices zoals IP-camera’s (zonder ingebouwde batterij-aangedreven klok, dus waarvoor NTP essentieel is). Deze worden vaak door de fabrikant ingesteld om te communiceren met de NTP-pool.

Het gevolg van dit alles is zowel een enorme stijging in de behoefte aan NTP-diensten als een diffuse wildgroei van goede en minder goede publieke NTP-diensten.

Neem NTP niet als vanzelfsprekend aan

Het goede nieuws is allereerst dat de bonte mengelmoes van beschikbare NTP-diensten er in elk geval voor zorgt dat de meeste dingen gewoon werken. Daar mogen we vooral de beheerders van de NTP-pool wel zeer dankbaar voor zijn. Voor huis-tuin-en-keukengebruik volstaat hun service in verreweg de meeste gevallen en het is niet voor niks dat miljoenen apparaten er gebruik van maken. Maar voor de meer kritischer omgevingen, loont het om een meer doordachtere aanpak te volgen.

Elke professionele omgeving zou zijn NTP-beleid moeten opstellen aan de hand van een weloverwogen plan. Want er valt best veel te kiezen. En wie inzet op een optimale beveiliging van zijn infrastructuur, mag daarbij de NTP-setup niet over het hoofd zien. Het manipuleren van de tijd(synchronisatie) is immers een potentiële aanvalsvector in bepaalde scenario’s, met mogelijk vervelende consequenties tot gevolg.

Het is niet verstandig om uitsluitend op één aanbieder te vertrouwen. De NTP-pool is daarvan een voorbeeld. Hoewel de pool functioneert en in een behoefte voorziet, is de continuïteit van deze service helaas een risico, want deze hangt te veel aan één sleutelfiguur die beperkt tijd heeft (Ask Bjørn Hansen). Voor kritische omgevingen is dit ongewenst, nog los van het feit dat de kwaliteit van de NTP-pool niet bijzonder constant is. Afhankelijk van met welke van de ruim 4.300 servers je wordt doorverbonden, waaronder veel huisaansluitingen achter ADSL of kabel, kan de precisie van het NTP-signaal verschillen.

Maar ook veel andere aanbieders van een publieke NTP-dienst zijn volstrekt onduidelijk over hun servicelevel. Ze werken, naar we moeten aannemen (want het is zelden ergens na te lezen), op een ‘best effort’ basis, zonder enige garantie. We kwamen, tijdens een onderzoek hiernaar, bijvoorbeeld best wel wat NTP-servers tegen, ook van gerenommeerde partijen, die verouderde versies van firmware draaiden. Dus het is zeker verstandig om je te verdiepen in de reputatie van een bepaalde aanbieder. Want gelukkig zijn er ook een paar zeer betrouwbare partijen, zoals bijvoorbeeld het Zweedse Netnod, ons eigen TimeNL of gerenommeerde organisaties zoals nationale metrologisch instituten, of andere professionals voor wie tijd een essentiële aangelegenheid is. Maar zelfs dan kan het nog misgaan.

Qua keuzes moet dus gedacht worden aan het minder afhankelijk worden van één bepaalde partij. En dat gaat soms verder dan in eerste instantie gedacht. Veel publieke NTP-diensten gebruiken bijvoorbeeld zelf als referentieklok het Amerikaanse gps-systeem. Ongemerkt kan dit alsnog een afhankelijkheid creëren. Het is daarom bij de keuze van NTP-servers verstandig om hier rekening mee te houden en een palet aan servers samen te stellen, waaronder ook servers die bijvoorbeeld een atoomklok als referentie gebruiken of die het Europese Galileo als referentie hebben. Het NTP-protocol is slim genoeg om de ‘falseticker’ er dan feilloos uit te halen. Al blijft het vaak lastig om dit soort details te achterhalen, wegens gebrek aan transparantie bij veel aanbieders. Dat geldt ook voor de vraag of de NTP-servers aan leap smearing doen, of niet. Wel handig om te weten, want een mix van servers die dit wel en niet doen is niet aan te raden.

NTP-antwoorden kunnen worden ‘gespoofed’, oftewel worden gemanipuleerd en vervalst. En dat is een goede reden om ‘authenticated NTP’ (maar wel de goeie varianten, dus niet ‘autokey’) te overwegen als dat voorhanden is. De nieuwste ontwikkeling op dit gebied is NTS (Network Time Security). Zeker het uitzoeken waard. Wie zelf een eigen NTP-server heeft aangeschaft op basis van bijvoorbeeld gps, moet zich realiseren dat gps-signalen eveneens jammed of spoofed kunnen worden. Dus vertrouw er niet volledig op, maar bouw redundantie in als tijdsynchronisatie erg belangrijk voor je is.

En wie al zijn apparaten via de firewall rechtstreeks met NTP-servers met het internet laat communiceren, moet zich realiseren dat dit ook misbruikt kan worden voor data exfiltration, waardoor het misschien beter is om deze apparaten met eigen, interne servers te laten communiceren en alleen die servers toe te staan om met bepaalde NTP-servers op het internet te communiceren. NTP voorziet in een dergelijke trapsgewijze aanpak (zie Figuur 1). Zo’n benadering verlaagt tevens de belasting op de publieke NTP-diensten, vooral als het eigen netwerk erg veel gebruikers omvat. Want alle interne systemen synchroniseren dan aan de interne servers en alleen die communiceren met de publieke servers op het internet:

Figuur dat de stratumniveaus van NTP weergeeft
Figuur 1: Stratumniveaus van NTP.

En verder is er misschien de wens om, naast IPv4, ook via IPv6 de tijd te kunnen synchroniseren (wat nog lang niet elke aanbieder ondersteunt, zelfs de NTP-dienst van Apple niet).

Of is er de uitdrukkelijke wens om geen data (dus ook geen NTP-queries) naar big-techbedrijven (Google, Facebook, Apple, Microsoft, Cloudflare enz.) te sturen. Met daarbij trouwens de kanttekening dat de NTP-server van Apple, bijvoorbeeld, hardcoded in alle iPhone’s zit. Dus daar valt niet eens veel te kiezen. Hetzelfde geldt zonder twijfel voor wel meer apparaten van dit soort bedrijven.

Deze aandachtspunten, en meer, komen aan bod in RFC8633, ‘NTP Best Current Practices’.

Hoe TimeNL in dit plaatje past

Bij SIDN Labs denken we al geruime tijd na over het belang van NTP. En dit was de reden dat we TimeNL in het leven hebben geroepen. Dat is een publieke NTP-dienst, waarbij we transparantie nastreven en waarvan precies duidelijk is wat je wel en niet mag verwachten.

Ook draaien we alweer geruime tijd een pilot met NTS, wat staat voor ‘Network Time Security’, een recente beveiligingsuitbreiding op het NTP-protocol, dat tekortkomingen van eerdere beveiligingsinitiatieven oplost. Beide NTP-diensten hebben we ter beschikking gesteld aan de NTP-pool, waar we ook een wereldwijde, op BGP-anycast gebaseerde dienst aan hebben toegevoegd. TimeNL is een groot succes gebleken en inmiddels verwerken we al zo’n 100.000 NTP-queries per seconde verdeeld over 28 servers wereldwijd.

Het succes van TimeNL blijkt ook uit de partijen die er gebruik van maken, zoals CloudFlare (t.b.v. hun eigen NTP-dienst), de NLNOG-ring (ten faveure van het in bedrijf houden van eigen NTP-hardware) en de Publieke Omroep Amsterdam (AT5). Maar er is ook goede kans dat systemen uit jouw eigen netwerk vroeg of laat bij een van onze servers aankloppen voor de juiste tijd, omdat ze de NTP-pool gebruiken.

Een blik op de toekomst

Vanwege dit succes, maken we ook dit jaar weer plannen voor uitbreiding en verbetering. Zo willen we onze capaciteit uitbreiden om de verwachte groei aan te blijven kunnen en nog meer redundant te worden. En we willen ook investeren in verdere beveiliging van onze NTP-dienst. En hoewel de kans dat het NTP-signaal van onze NTP-server wordt gemanipuleerd al vrij klein is, overwegen we ook om het risico hierop nog verder terug te dringen. We willen dit doen door het toevoegen van een betrouwbare, externe zogenaamde holdover clock. Dat is een zeer nauwkeurige rubidium-klok, die we aan onze tijdserver koppelen en die nog lang en zeer precies de tijd kan leveren, ook als alle externe referentieklokken onverhoopt niet meer, of gebrekkig, werken.

Met deze plannen dragen we bij aan een robuustere publieke NTP-infrastructuur, waarvan het belang, zoals je hierboven hebt kunnen lezen, niet genoeg benadrukt kan worden.

Artikel door:

Marco Davids

Marco Davids

Research engineer