De Europese Unie zou binnenkort zomaar een eigen DNS-resolver kunnen krijgen. Het initiatief ‘DNS4EU’ moet leiden tot een privacyvriendelijke en veilige Europese DNS-infrastructuur voor Europese internetgebruikers – als alternatief voor de huidige resolvers, die met name in de VS zijn gevestigd. Goed idee, of zonde van het geld?
Het Domain Name System zet via resolvers URL’s om in IP-adressen en omgekeerd. Het wordt dan ook het ‘telefoonboek’ van het internet genoemd. Als je dus geen lange cijferreeksen wilt onthouden om websites te bezoeken, moet je DNS gebruiken. Om deze reden is DNS dan ook een kritiek aspect van cybersecurity. En dat is een belangrijke reden voor de EU om nu een eigen DNS-resolver te ontwikkelen.
De EU versterkt de afgelopen tijd haar inspanningen om de digitale soevereiniteit te vergroten, zodat burgers en bedrijfsleven kunnen worden beschermd zonder daarvoor afhankelijk te zijn van buitenlandse spelers. DNS is een van de bouwstenen van het internet die vooral in handen is van aanbieders buiten de EU. Denk aan Google (VS), Cloudflare (VS) en Quad9 (Zwitserland).
Omdat DNS-resolvers doorgaans als gratis dienst worden aangeboden, meent de EU dat hierdoor de veiligheid niet kan worden gegarandeerd. Want, zo gaat het argument, providers van gratis diensten streven niet per se naar de meest veilige DNS-resolutie en zetten eerder in op het vergaren van gebruikersgegevens als ‘betaling’ voor hun dienst. Bovendien belemmeren buitenlandse DNS-resolvers de EU in de ontwikkeling van een eigen infrastructuur om cyberdreigingen te detecteren en afwenden.
De vereisten voor een Europese DNS-resolver
Een DNS-resolver maken voor de gehele EU is geen geringe opgave. Het gaat immers om de digitale soevereiniteit van Europa. Dat betekent dat alle DNS-data en metadata in de EU moet worden verwerkt. Daarbij moet de oplossing uiteraard voldoen aan de AVG en eventuele nationale wetgeving van iedere lidstaat rond gegevensbescherming en privacy.
Verder is een grote servercapaciteit nodig om te kunnen concurreren met diensten zoals die van Google. Deze servers moeten bovendien over heel Europa worden verspreid om latency te minimaliseren. Tot slot moet de Europese DNS-resolver stabiliteit kunnen garanderen. Dat betekent redundantie: de DNS-dienst mag bijvoorbeeld niet worden onderbroken door serveronderhoud. Daar is een uitgebreide DNS-infrastructuur voor nodig met onder meer anycast-technologie, zodat gebruikers altijd hetzelfde IP-adres kunnen aanhouden.
Ook de eisen rond security zijn streng. Er is ondersteuning vereist voor veiligheidsnormen zoals HTTPS, DNSSEC en DNS-protocollen zoals DNS over TLS (DoT) en DNS over HTTPS (DoH). Ook moet de DNS-dienst compatibel zijn met het communicatieprotocol IPv6.
Daarbovenop komt nog eens hoogwaardige bescherming tegen malware, phishing en andere bedreigingen, waarbij de provider van de DNS-dienst eigen dreigingsinformatie én die van betrouwbare partners (zoals CERT-teams) dient te analyseren en het publiek tijdig voor nieuwe bedreigingen moet waarschuwen.
Wat is wijsheid?
Zoals je kunt zien, hangt er een flinke wishlist aan de Europese DNS-resolver. En het zijn stuk voor stuk belangrijke eisen die de EU stelt. Toch zijn er ook enkele kanttekeningen te maken. Zoals het feit dat er ‘slechts’ 14 miljoen euro is vrijgemaakt voor de opstart van het project dat moet kunnen concurreren met enkele van de grootste techreuzen ter wereld – en zonder helderheid over verdere operationele financiering.
Verder is er geen restrictie aangegeven voor de vestigingslocatie van de provider. Dat betekent dat de servers die de DNS-data verwerken zich in de EU moeten bevinden, maar dat het hoofdkantoor van de provider zich ook buiten de EU kan bevinden. Dat kan conflicten opleveren tussen Europese en buitenlandse wetgeving, zoals de Amerikaanse CLOUD Act.
Daarnaast is één van de criteria voor DNS4EU dat URL’s moeten kunnen worden gefilterd als deze verwijzen naar ‘illegale inhoud’. Maar dat is een grijs gebied – want wat is ‘legaal’ en wat is ‘illegaal’? Wat betreft command & control servers (die criminelen gebruiken om aanvallen uit te voeren) is het helder, maar vervolgens wordt het onduidelijk. Hoe zit het met pornografie? Met kansspelen? Of met opruiende teksten? Een DNS-resolver mag niet een middel voor politieke repressie worden. Transparante definities over welk verkeer wel en niet wordt gefilterd zijn dan ook broodnodig.
Om afhankelijkheid van één dienst te voorkomen, moet het gebruik van een DNS-resolver op vrijwillige basis gebeuren. Dat staat zo ook beschreven in het DNS4EU-initiatief. Maar in hoeverre een centrale DNS-resolver veiliger is dan meer gedecentraliseerde opties, moet zich nog uitwijzen. En levert het DNS4EU-initiatief niet precies op wat het wil bestrijden – afhankelijkheid van één dienst?
Een goed idee op zoek naar gebruikers
Dus, is DNS4EU een goed idee? Jazeker. Vooral omdat security hoog in het vaandel staat bij dit project. Publieke DNS-diensten, zoals die van internetproviders en techbedrijven als Google, positioneren zich nadrukkelijk als neutraal doorgeefluik. Ze doen verder weinig om gebruikers te beschermen tegen malafide websites. DNS4EU zou daarentegen actief malware- en phishingsites moeten gaan filteren en blokkeren. En dat is iets waar gebruikers wel degelijk baat bij kunnen hebben. Dat DNS4EU wordt ontwikkeld, is dus in principe een goede zet. Maar het systeem moet wél aan alle juiste voorwaarden voldoen, zodat veilige en stabiele toegang tot een open internet gegarandeerd blijft.
De grote vraag wordt: wie gaat het gebruiken? Slimme netwerkbeheerders bij bedrijven zonder eigen DNS-resolver kunnen kiezen voor DNS4EU. Voor grootschalig gebruik door burgers zal echter veel afhangen van de ISP’s. De meeste mensen maken gewoon gebruik van de standaard DNS-resolver van de ISP; ze weten niet hoe ze DNS-instellingen moeten veranderen, laat staan dat ze de impact van veranderingen goed begrijpen. Dat is niet gek, want DNS is niet iets waar ze dagelijks bij stil hoeven te staan. Maar als we niet willen dat DNS4EU alleen gebruikt zal worden door bedrijven en enkele geïnformeerde burgers, zouden ook de Europese ISP’s DNS4EU als standaard moeten omarmen.
Dit is een ingezonden bijdrage van Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.