Je zit net lekker op de bank, je Chromecast staat klaar voor de nieuwste Netflix-serie, maar het beeld blijft bufferen. Of erger: je provider heeft bepaald dat je stream vanaf een buitenlandse server niet mag. Waarom? Omdat ze precies zien wat je doet.
▶Inhoudsopgave
Ze kijken letterlijk mee in je digitale 'telefoonboek'. Dat boek heet DNS, en er is een revolutionaire manier om dat af te schermen: DNS over HTTPS (DoH).
Dit is het verhaal over je privacy en streamingvrijheid.
Controverse rondom DNS over HTTPS (DoH)
DNS is sinds 1983 de ruggengraat van internet. Zonder dat systeem zou je geen 'netflix.com' kunnen intypen, maar moest je het ingewikkelde IP-adres (zoals 192.168.1.1) onthouden.
Het is het telefoonboek van het internet. Standaard werkt dit open en bloot. Iedereen op je netwerk – je provider, je baas op het werk, of een hacker op een drukke luchthaven – kan meekijken welke 'nummers' je draait.
En dat zijn dus precies de sites waar je streamt. DoH gooit het roer om.
In plaats van een open telefoontje, stuurt je browser de vraag naar dat nummer in een versleutelde envelop. Alleen de ontvanger kan lezen wat erin staat. Klinkt perfect, toch? Het is de reden waarom Firefox DoH standaard inschakelde voor gebruikers in de VS.
Meld je aan en praat mee
Het zorgt voor een directe, veilige verbinding zonder nieuwsgierige blikken. Toch is er flinke controverse.
Internetproviders en netwerkbeheerders voelen zich buitenspel gezet. Zij verliezen de controle over hun netwerkbeveiliging, omdat ze niet meer zien of je verbinding maakt met een malafide site of een legitieme streamingdienst.
Voel je je ook weleens gefrustreerd door die blokkades van je provider? Of maak je je zorgen over wie er allemaal meekijkt als je op een openbaar wifi-netwerk zit? Dit is een onderwerp waar weinig aandacht aan wordt besteed, terwijl het je dagelijkse streamingervaring direct beïnvloedt. Deel je ervaringen en ontdek hoe je de regie terugneemt.
DNS-dienst in je webbrowser
Standaard geeft je computer de DNS-opdracht door aan je internetprovider. Die logt dit netjes (hoewel de wetgeving streng is, mag het nog steeds). Met DoH verander je de provider van dit 'telefoonboek'.
Je browser kiest vaak automatisch een partij als Cloudflare of Google. Dit werkt supersnel, maar het betekent dat je data bij een gigantische Amerikaanse partij terechtkomt.
Wil je dit liever Europees of specifieker regelen? Je kunt een DoH-resolver instellen in je browser of op je apparaat.
SURF biedt bijvoorbeeld drie name servers aan voor DNS-opzoekingen. Zij draaien al sinds 2017 DNS over TLS (DoT), een broertje van DoH. De instelling is vaak een kwestie van een regel tekst in je browserconfiguratie of een instelling in je router. Op je mediaspeler of Chromecast is dit helaas vaak lastiger; daar moet je vaak je router voor aanpassen.
Verlies van controle
Stel je voor: je kinderen zitten op hun tablet en je hebt via de DNS-filters van je provider (of een dienst als Control D) ingesteld dat ze geen toegang hebben tot volwassen content of gevaarlijke sites.
DoH gooit deze filter vaak overboord. De versleutelde envelop gaat namelijk rechtstreeks naar de DoH-resolver, waardoor de lokale filter van je provider of thuennetwerk wordt omzeild. Je verliest dus beveiliging op lokaal niveau.
Veel providers in Europa blokkeren DoH dan ook standaard of waarschuwen ervoor. Ze willen de veiligheid van hun netwerk waarborgen.
Tegelijkertijd willen ze natuurlijk niet dat jij via een DoH-resolver in het buitenland toegang krijgt tot diensten die zij (tijdelijk) geblokkeerd hebben.
Het is een kat-en-muisspel. Als je zelf de controle wilt houden, moet je weten wat je doet. Zomaar even snel inschakelen op je smart-tv kan leiden tot onverwachte blokkades of juist open zetten van zaken die je dicht had.
Internet centraliseert verder
De angst voor centralisatie is reëel. Hoewel DoH je privacy beschermt tegen je directe omgeving, bundelt het het verkeer bij een handvol partijen.
De meeste browsers grijpen automatisch naar Cloudflare. Zij hebben inmiddels een marktaandeel dat groter is dan veel landelijke providers bij elkaar. Cloudflare lanceerde onlangs zelfs Oblivious DNS over HTTPS (ODoH), wat de privacy nog verder moet verbeteren door de resolver te scheiden van de vraag.
Ironisch genoeg maakt dit het internet nog afhankelijker van hun infrastructuur. Er is hoop.
SURF neemt deel aan een pilot met Oblivious DNS over HTTPS. In Nederland en Europa proberen we de boel decentraal te houden. Het doel is om te voorkomen dat alle data van Nederlandse studenten en burgers bij één Amerikaanse techgigant belandt.
Want als die ene partij uitvalt of gemanipuleerd wordt, ligt een groot deel van je internet stil. Of je nu Netflix wilt kijken via de beste internet providers voor streaming of je bankzaken wilt regelen.
Experimenteren met het protocol
Wil je het zelf proberen? Je hoeft geen IT-expert te zijn.
Op je laptop of telefoon kun je vaak al instellen dat je DoH gebruikt. In Firefox ga je naar instellingen, zoek je naar 'Netwerkinstellingen' en kun je DoH aanzetten. Op Android en iOS werken steeds meer apps hiermee.
Als je een eigen router hebt (zoals een Ubiquiti of fritz!Box), kun je hier vaak een DoH-client op draaien, zodat alle apparaten in huis beschermd zijn. Maar let op: DoH is niet gratis.
De resolver moet geld kosten om te draaien. Cloudflare is gratis (ze verdienen aan andere diensten).
SURF is gratis voor onderinstellingen, maar voor consumenten kan het via een provider of dienst wel geld kosten. Prijzen voor privacy-diensten als NextDNS of Control D liggen vaak rond de €20,- per jaar. Dat is een prima investering voor rust en regie over je netwerk. Test het vooral op een openbaar wifi-netwerk op Schiphol of in een café. Daar merk je direct het voordeel: je verkeer is niet meer leesbaar voor de eigenaar van het netwerk, zeker als je gebruikmaakt van de beste alternatieve DNS-servers voor streaming.
Wie controleert het internet?
Uiteindelijk draait het om de vraag: wie bepaalt wat je ziet en wat je niet ziet? De overheid, je provider, of een techgigant?
In Europa beschermt de AVG je DNS-verkeer redelijk. Europese providers mogen je surfgedrag niet zomaar gebruiken voor marketingdoeleinden. Maar dat betekent niet dat ze het niet loggen.
DoH verschuift de macht. Het geeft jou de sleutel om je eigen verkeer af te schermen.
Maar die sleutel heeft twee kanten. Enerzijds ben je veilig voor hackers en nieuwsgierige buren. Anderzijds maak je het lastiger voor netwerkbeheerders om aanvallen te stoppen. De technologie is er nog niet om alles perfect op te lossen.
Daarom is het slim om bewust te kiezen. Kies een resolver met een strikte privacy policy.
Bij SURF bijvoorbeeld, bewaren ze IP-adressen maximaal 1 minuut. Dat is pas echt privacy.
Praktische tips voor je streaming-ervaring
Om je op weg te helpen, hier een concreet stappenplan om je privacy te waarborgen en je LG TV instellingen te optimaliseren voor een betere streamingervaring:
- Gebruik DoH op publieke wifi-netwerken: Schakel het in op je telefoon voordat je inlogt op het netwerk van de NS of een café. Zo stream je veilig en zien anderen niet welke VPN of streamingdienst je gebruikt.
- Let op met lokale filters: Gebruik je een blokkade voor kinderen? Schakel DoH dan uit op hun apparaten, of zet het juist aan op jouw apparaat om de blokkade te testen.
- Kies de juiste resolver: Ga voor een partij met een Europees beleid. SURF is een uitstekende optie voor Nederlanders. Zo voorkom je dat je data onnodig de Atlantische Oceaan overgaat.
- Controleer je provider: Sommige providers zoals KPN of Ziggo bieden eigen beveiligingsprofielen aan. Die werken soms niet samen met DoH. Wees je hier bewust van voordat je je verbinding verbreekt.
Met deze kennis ben je niet langer een passieve gebruiker. Je bent de bestuurder van je eigen internetverkeer. Dus, de volgende keer dat je op de bank ploft met je afstandsbediening in de hand, weet je dat er achter de schermen een stukje technologie aan het werk is dat bepaalt of je privacy intact blijft. Kies wijs.