De DNS-resolver, jouw internetpoortwachter — maak de juiste keuze
Je DNS-resolver is je poortwachter naar het internet — kies verstandig
Elke keer dat je een webadres intypt, gebeurt er in milliseconden een gesprek op de achtergrond: je apparaat vraagt een recursieve DNS-resolver om het IP-adres dat hoort bij die leesbare domeinnaam. De meeste mensen denken nooit na over die resolver — meestal is het gewoon wat je provider standaard levert. Maar die keuze is belangrijker dan je misschien denkt.
Je DNS-resolver ziet elk domein dat je opvraagt. Hij kan je browsegeschiedenis loggen, bepalen wat je wel en niet kunt bekijken, en — als de beveiliging niet op orde is — je queries manipuleren of onderscheppen. Voor developers, startups en iedereen die privacy serieus neemt, is een publieke DNS-resolver zo'n infrastructuurkeuze die je één keer maakt en daarna de vruchten plukt.
Laten we bekijken wat het onderzoek zegt en hoe je de juiste resolver kiest voor jouw situatie.
Wat is een publieke DNS-resolver eigenlijk?
Een publieke DNS-resolver is een dienst die iedereen kan gebruiken in plaats van de standaard resolver van de provider. Bedrijven zoals Cloudflare (1.1.1.1), Google (8.8.8.8) en Quad9 bieden gratis recursieve DNS-diensten aan die snellere lookups, betere privacy en extra beveiligingsfuncties beloven.
Als je overschakelt naar een publieke resolver, maak je een keuze over:
- Wie je queries ziet — je provider verliest inzicht, maar de resolver-exploitant krijgt het
- Welke filtering plaatsvindt — sommige resolvers blokkeren malware-domeinen of adult content
- Of je queries versleuteld zijn — onversleutelde DNS is te monitoren onderweg
- Onder welke jurisdictie je data valt — de juridische regels verschillen per land
De juiste keuze hangt volledig af van wat je belangrijk vindt. Laten we de onderzoeksresultaten per factor bekijken.
Snelheid: Maakt versleutelde DNS je trager?
Een van de eerste zorgen over versleutelde DNS is latentie. Versleutelde transporten zoals DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT) voegen cryptografische overhead toe aan elke query, dus theoretisch zouden ze langzamer moeten zijn dan gewone DNS (poort 53).
Onderzoek uit peer-reviewed DNS-meetstudies laat een genuanceerder beeld zien. Versleutelde DNS voegt wel latentie per query toe, maar de totale laadtijd van pagina's komt vaak dichtbij onversleutelde DNS. De overhead is in de praktijk kleiner dan de theoretische kosten suggereren, en voor de meeste gebruikers is het verschil onmerkbaar.
Op netwerken met veel pakketverlies of hoge latentie (denk aan satellietinternet of drukke mobiele netwerken) wint onversleutelde DNS het nog steeds. Als je daar pure prestaties wilt, is onversleutelde DNS de snelste optie.
Prestaties variëren ook flink per regio en provider. Een resolver die razendsnel is vanuit een datacenter in Frankfurt kan traag zijn vanaf een server in São Paulo. De "snelste" resolver is echt locatie-afhankelijk, dus het loont de moeite om er een paar te testen onder jouw werkelijke netwerkomstandigheden.
Versleutelde DNS: Meer dan alleen bescherming tegen meegluren
Veel gebruikers denken dat versleutelde DNS vooral gaat om je queries verbergen voor netwerktoeschouwers — WiFi-meelopers, provider-monitoring of malafide hotspots. Dat klopt, maar de voordelen reiken verder.
De grootste end-to-end studie naar versleutelde DNS toonde aan dat queries die via DoH en DoT worden verzonden, significant minder vaak worden onderschept of gewijzigd onderweg vergeleken met onversleutelde DNS. Deze weerstand tegen manipulatie is belangrijk voor beveiliging, niet alleen voor privacy. Met onversleutelde DNS kan een man-in-the-middle aanvaller potentieel je cache vergiftigen met vervalste DNS-antwoorden en je omleiden naar kwaadaardige sites zonder dat je het doorhebt.
Niet alle versleutelde resolvers zijn echter gelijk. Dezelfde studie toonde aan dat ongeveer 25% van de DoT-providers ongeldige TLS-certificaten serveerden — een serieuze configuratiefout die de beveiligingsvoordelen ondermijnt. Als je een resolver vertrouwt met je DNS, is operationele kwaliteit belangrijk. Blijf bij goed beheerde providers met correct geconfigureerde certificaatketens.
De privacywerkelijkheid: Je resolver Ziet nog steeds alles
Hier is een cruciaal punt dat vaak wordt genegeerd: versleuteling verbergt je queries voor het netwerk, niet voor de resolver-exploitant. Wie je DNS-resolver ook draait, ziet nog steeds elk domein dat je opzoekt, punt uit.
Als je je daar zorgen over maakt, zoek dan naar twee dingen:
No-loggingbeleid: Sommige resolvers committeren zich expliciet aan het niet opslaan van querylogs. Quad9 verwijdert bijvoorbeeld alle data binnen 24 uur en koppelt queries niet aan gebruikers. Ook Cloudflares 1.1.1.1 voor consumenten heeft een no-loggingtoezegging voor residentieel gebruik.
Oblivious DNS over HTTPS (ODoH): Dit nieuwere ontwerp introduceert een proxy tussen jou en de resolver, zodat de proxy je IP-adres kent maar niet wat je opvraagt, terwijl de resolver weet wat je opvraagt maar niet je IP-adres. Geen enkele partij ziet beide. Cloudflare en Apple hebben allebei ODoH-infrastructuur uitgerold. Het is een betekenisvolle stap vooruit in privacy als dat je prioriteit is.
DNSSEC: De validatie die vervalsing daadwerkelijk stopt
DNSSEC (DNS Security Extensions) voegt cryptografische handtekeningen toe aan DNS-records, waardoor resolvers kunnen verifiëren dat responses niet zijn gemanipuleerd. Zonder DNSSEC-validatie kan een voldoende gepositioneerde aanvaller DNS-responses vervalsen en verkeer omleiden.
Alleen validerende resolvers controleren die handtekeningen. De meeste grote publieke resolvers valideren wel — Google Public DNS, Cloudflare en Quad9 doen het allemaal — en ze hebben de kritieke root key (KSK) rollover in 2018 probleemloos doorstaan. Als data-integriteit belangrijk voor je is, zou DNSSEC-validatie een vinkje moeten zijn bij het evalueren van resolvers.
ECS: Een snelheid-privacy-afweging die je moet begrijpen
EDNS Client Subnet (ECS) is een protocol-uitbreiding die een deel van je IP-adres naar authoritative DNS-servers (en soms resolvers) stuurt, zodat CDNs geografisch relevante adressen kunnen retourneren voor snellere contentlevering.
De afweging: ECS verbetert CDN-routingnauwkeurigheid maar deelt meer van je netwerkidentiteit met meer partijen. Googles Public DNS en OpenDNS sturen standaard ECS-data. Cloudflare en standaard Quad9 niet. Geen van beide keuzes is objectief beter — het hangt ervan af of je CDN-prestatieoptimalisatie of minimale informatieonthulling belangrijker vindt.
DNS-over-QUIC: De nieuwe snelheidskampioen
DNS-over-QUIC (DoQ) is het nieuwste versleutelde DNS-transport, en de eerste data zijn veelbelovend. Een meetstudie uit 2022 toonde aan dat DoQ inmiddels snellere responstijden heeft dan zowel DoT als DoH in veel scenario's. QUIC's verbindingsafhandeling en verminderde handshake-overhead dragen bij aan snellere uitwisselingen.
Er is wel een kanttekening: ongeveer 40% van de handshakes werd vertraagd door QUIC's adresvalidatiemechanisme, wat beschermt tegen amplification-aanvallen maar latentie toevoegt bij initiële verbindingen. Toch, waar zowel client als resolver DoQ ondersteunen, is het de te verkiezen versleutelde optie.
Ondersteunen momenteel DoQ: Quad9, AdGuard, NextDNS, Control D, Mullvad DNS, UncensoredDNS en verschillende anderen. Als je applicaties of infrastructuur DoQ kunnen gebruiken, zijn de prestatievoordelen reëel.
DNSCrypt: Het veteranenversleutelingsprotocol
DNSCrypt stamt uit de tijd vóór DoH en DoT — versie 2 lanceerde in 2013. Het versleutelt DNS-queries vanaf het allereerste pakket met vooraf gedeelde publieke sleutels van de resolver, wat betekent dat er geen plaintext hostname lookup is (in tegenstelling tot DoH, dat soms als HTTPS-verkeer naar een bekende DoH-provider gedetecteerd kan worden) en geen afhankelijkheid van het Certificate Authority-systeem.
DNSCrypt introduceerde ook Anonymized DNS-modus in 2019, wat queries via relay-servers leidt om client-IP's te verbergen voor de resolver — vergelijkbaar met ODoH in filosofie maar anders geïmplementeerd. Onder publieke resolvers bieden Quad9, OpenDNS, AdGuard, NextDNS, Control D en Yandex DNS DNSCrypt-ondersteuning.
Het is niet zo wijdverspreid als DoH, maar voor bepaalde situaties biedt DNSCrypt eigenschappen die echt waardevol zijn.
Trafficanalyse: Zelfs versleutelde DNS is niet onzichtbaar
Hier is een nuchtere bevinding uit het onderzoek: zelfs over DoH kan trafficanalyse met hoge nauwkeurigheid identificeren welke domeinen je bezoekt. Standaard EDNS-padding helpt een beetje, maar voorkomt volledige fingerprinting niet.
Als je in een situatie zit waar geavanceerde trafficanalyse een reële dreiging is — stel dat je journalist bent die opereert in een vijandige netwerkomgeving — reken dan niet alleen op versleutelde DNS. Combineer het met Tor of gebruik oblivious designs zoals ODoH voor betekenisvolle bescherming tegen deze aanvalsvector.
Jurisdictie doet ertoe — meer dan je misschien denkt
De juridische thuisbasis van je resolver-exploitant bepaalt welke data kunnen worden opgeëist, hoe lang ze bewaard moeten worden, en onder welke omstandigheden opsporingsdiensten toegang hebben tot je querygeschiedenis. Dit is niet abstract — het is een echt risico.
Een handjevol providers verwerkt nu een aanzienlijk deel van het wereldwijde recursieve DNS-verkeer, wat legitieme zorgen oproept over centralisatie. De Amerikaanse NSA heeft ook expliciet gewaarschuwd dat het gebruik van externe resolvers interne DNS-filtering en inspectiecontroles omzeilt waar organisaties op rekenen voor beveiligingsmonitoring.
Voor bedrijven is dit niet alleen een privacykwestie — het is een bestuursvraagstuk. Je CISO kan legitieme redenen hebben om interne DNS-resolutie te vereisen, zelfs als het trager of minder privaat is.
De keuze maken: Een praktisch framework
Gegeven al deze factoren, hoe beslis je dan daadwerkelijk? Hier is een praktisch framework:
Als privacy het belangrijkst is: Kies een no-logging resolver in een gunstige jurisdictie, activeer ODoH als het beschikbaar is, en combineer met Tor voor gevoelig browsen. Quad9 is een sterke kandidaat hier.
Als snelheid alles is: Test resolvers vanaf je daadwerkelijke locatie, en schrijf onversleutelde DNS niet af op netwerken met veel verlies. Voor versleutelde opties, geef de voorkeur aan DoQ waar ondersteund.
Als je filtering nodig hebt: Veel resolvers bieden gefilterde lagen die malware, advertenties of adult content blokkeren. AdGuard, NextDNS, Control D en CleanBrowsing bieden granulaire filteropties.
Als je een bedrijf bent: Denk na over het volledige bestuurlijke plaatje — jurisdictie, loggingbeleid, integratie met interne beveiligingstools, en de waarschuwingen van de NSA over het omzeilen van interne controles.
Als je gewoon "goed genoeg" wilt: Cloudflare 1.1.1.1, Google Public DNS en Quad9 zijn allemaal solide, goed beheerde keuzes met brede protocolondersteuning en redelijke privacynormen. Je kunt met geen van de drie fout zitten voor algemeen gebruik.
De bottom line
Je DNS-resolver is fundamentele infrastructuur. Hij is er altijd, verwerkt altijd elk domein dat je aanraakt, en de keuze van wie hem draait is daadwerkelijk van betekenis. Het goede nieuws is dat het ecosysteem van publieke resolvers flink is volwassen geworden — versleuteld transport is nu de norm in plaats van de uitzondering, DNSSEC-validatie is wijdverspreid beschikbaar, en privacy-respecterende opties bestaan voor elke situatie.
Besteed 30 minuten aan het evalueren van je opties, configureer je apparaten of netwerk dienovereenkomstig, en je krijgt permanente voordelen met nul doorlopend onderhoud. Het is een van de infrastructuurkeuzes met de hoogste impact die je met minimale inspanning kunt maken.
Je internetervaring stroomt door die resolver. Zorg ervoor dat het er een is die je vertrouwt.
NameOcean biedt Vibe Hosting met AI-gestuurde tools die naadloos integreren met je domain en DNS-configuratie. Beheer je custom resolver-voorkeuren samen met je domainmanagement in één unified dashboard.