SIDN kijkt of anycast-DNS-infra op Nederlandse servers kan worden gehost

SIDN gaat onderzoeken of het anycastsysteem voor de DNS-infrastructuur voor het .nl-domein op datacenters van Nederlandse bedrijven kan komen te draaien. Verder wil SIDN ook de keuze om de andere infrastructuur naar AWS te verplaatsen 'regelmatig evalueren'.

De Stichting Internet Domeinregistratie Nederland schrijft dat in een blogpost na de afgelopen weken gesprekken te hebben gevoerd met de Dutch Cloud Community, de brancheorganisatie voor cloudproviders en internetdiensten in Nederland. Die gesprekken liepen al in februari van dit jaar. SIDN zegt nu aan DCC te hebben gevraagd 'mee te denken over welke Nederlandse partijen kandidaat zouden kunnen zijn om onze DNS-anycastinfrastructuur te hosten'.

Daarmee bevestigt de beheerder van het .nl-domein dat hij actief kijkt naar Nederlandse partijen die de infrastructuur zouden kunnen hosten. Het gaat dan specifiek om IP-anycast, dat SIDN nog wel zelf host. Daarnaast wordt een kopie van die nameservers gehost door de beheerders van het Canadese .ca- en het Oostenrijkse .at-domein, voor redundantie. "We zijn momenteel in gesprek met Nederlandse partijen om dit belangrijke deel van onze infrastructuur, dat op meerdere plekken op de wereld draait, onder te brengen", schrijft SIDN.

Daarnaast zegt de stichting dat zij de keuze om een ander deel van de infrastructuur naar AWS te verplaatsen 'regelmatig zal evalueren'. SIDN kwam onder vuur te liggen toen de organisatie vorig jaar besloot het domeinregistratiesysteem te hosten via Amazon Web Services. Met de recente ontwikkelingen in de Verenigde Staten kwam de politiek daarop in beweging: onlangs nam de Tweede Kamer een motie aan waarin zij de regering opriep stappen te zetten tegen de verhuizing.

SIDN hoeft als private stichting niets te doen met zo'n motie, maar is niet doof voor de kritiek. De organisatie zei vorig jaar al te willen kijken naar de mogelijkheid om de infrastructuur alsnog op Nederlandse servers te hosten, maar maakte daar de kanttekening bij dat dat te moeilijk en te duur was. "De huidige keuze voor AWS zullen we regelmatig evalueren, waarbij we onderzoeken wanneer een verhuizing op termijn naar een Nederlandse of Europese provider mogelijk is", schrijft SIDN. "Met DCC is afgesproken dat we de Nederlandse sector nauw hierbij betrekken, onder andere in het aankomende traject dat we onder leiding van het ministerie van Economische Zaken gaan volgen, om invulling te geven aan de Kamermotie."

Door Tijs Hofmans

Nieuwscoördinator

18-04-2025 • 14:17

47

Submitter: Anonymoussaurus

Reacties (47)

47
46
35
4
0
10
Wijzig sortering
Het blijven een stel incapabele mensen die SIDN runnen aan de top. Hun inkomsten zijn meer dan genoeg om dit met goede mensen in Nederland te draaien, maar ze blijven maar volhouden dat het een mega complexe operatie is.

Roelof (CEO) en Loek (CTO) hebben amper verstand van zaken op technisch gebied en bekijken alles puur bedrijfsmatig. Ze huren voor alles dure consultants in en vertrouwen al tijden niet meer op gewoon goede IT’ers met fatsoenlijk ‘boeren’ verstand.

SIDN heeft 6 miljoen records (domeinen) te beheren en wat DNS servers, dat is geen rocket science. Het serverpark van Tweakers is complexer!

Ik ben er zeker van dat hier op deze website je voldoende techneuten bij elkaar vind die dit fantastisch kunnen draaien voor veel minder geld. Schrap alleen al die bureaucratie die er nu bestaat!
Dat een beetje IT-er meer weet over het onderwerp dan de leiding van zo'n stichting is op zijn minst erg jammer te noemen.

Echter sommige zaken lenen zich beter voor een community-driven oplossing dan andere.
SIDN is juridisch gezien DE autoriteit, waarmee het concept van één waarheid gemakkelijk te borgen is.
Het gaat bij de verdeling van domeinnamen voor bedrijven om heel grote belangen.
Een technische oplossing waarbij het risico reëel is dat er branches ontstaan, omdat de ene ontwikkelaar net een net iets andere kijk op de waarheid hanteert dan de andere, is iets dat zo'n systeem niet kan veroorloven.

Een stichting is dan de minst kwalijke oplossing. Het is niet zo dat de overheid nu een goede trackrecord heeft mbt IT zaken. Dit hoort ook niet bij een commerciële partij thuis. Dan blijft de stichting over.
Het lijkt mij dan alsnog handig om gewoon capabel IT personeel in dienst te hebben bij zo'n stichting.
De stichting constructie an sich is best wel een aardig idee, de uitvoering lijkt alleen wat matig.
Ik krijg van SIDN een beetje Sanquin vibes. Halen veel geld binnen voor een zeer belangrijk iets. Echter tegelijkertijd vinden ze zichzelf alwetend genoeg om te bepalen wat voor iedereen goed is. Voor wie dat niet weet, Sanquin haalt bloed op via doneren er verkoopt dit. Vervolgens geven ze miljoenen uit aan onderzoek waarvan Sanquin vind dat dit belangrijk is. Sterker nog het is volgens Sanquin onderdeel van hun Kernwaarden. Ondertussen is bloed Nederland 2x duurder dan in België en Duitsland. Ga je kijken in de jaarverslagen dan zie je dat er 187 miljoen binnenkomt aan verdiensten uit bloeddonatie. Daar gaan natuurlijk kosten vanaf voor testen en opslag. Echter tegelijkertijd haalt hun research fund 137 miljoen op waarvan ze de helft zelf financieren; 68 miljoen dus. Een zakje bloed kost nu 264 euro, zonder die research fund kun je grofweg stellen dat het 36% goedkoper kan. Dan hebben we het nog niet gehad over overige kosten zoals werving en salarissen. Goed dat ze er zijn, maar het is wel bijzonder dat ze een prijsopdrijvend effect creëren om vervolgens onderzoek dat zij zelf belangrijk vinden te financieren.

SIND lijkt een vergelijkbaar model te gebruiken wat ik maar benoem als het alwetende stichting model. Zo heeft SIDN hebben momenteel letterlijk 29 miljoen op de bank staan en van de 23 miljoen opbrengsten geven ze 12.9 miljoen uit aan personeelskosten dat samen met overige bedrijfskosten van 9 miljoen resulteert in een netto verlies. Die inkoopwaarde van de omzet is slechts 111K, dat is dat vermoedelijk het server verhaal. Gros van het geld gaat dus niet naar het in de lucht houden van de domeinregistraties maar vooral naar zaken waarvan SIDN vind dat het belangrijk is.

Wellicht tijd om dit soort dingen gewoon op Europees niveau op te lossen dan hoeft niet elk land het wiel uit te vinden en dan zijn infra de kosten per TLD beperkt. Voor .nl kun je dan op basis van de jaarcijfers met factor 10 omlaag.

[Reactie gewijzigd door sdk1985 op 19 april 2025 00:27]

Monopolies aan stichtingen geven is het domste wat je kan doen. Elke grote stichting word uiteindelijk een manier om het bestuur te verrijken, bijna zonder uitzondering.
Wat is je alternatief?
* Een monopolie geven aan een BV? Dan vloeit er gegarandeerd geld naar de aandeelhouders.
* Redundant uitvoeren, zoals bij eHerkenning, zodat 5 partijen het bouwen, met 5 keer de bouwkosten, en - wonder boven wonder - ze zijn allemaal ongeveer even duur.
* In overheidshanden houden is een redelijke optie, misschien.

Een stichting die management aantoonbaar overbetaalt, kan je aanpakken. Elke stichting heeft een statutair doel, en wanneer het handelt tegen dat doel, heb je mogelijkheden. Die zijn er bij een BV niet.

En toegegeven, misschien voelt een stichting met monopolie geen keiharde stimulans om de prijs laag te houden, en doet het extra onderzoek, maar dat is niet per sé negatief voor de maatschappij.

Mijn persoonlijke ervaring met MKB-bedrijven die Software/diensten leveren in een comfortabele niche zonder veel directe concurrentie, speelde managementverrijking niet echt, en werd er wel degelijk gekeken naar de kosten binnen de perken houden, maar vooral: er was ruimte om zaken goed te doen, in plaats van met haast de kantjes ervan af te lopen.
"aantoonbaar", dat is het probleem. Ze zorgen wel dat ze altijd hun smoesjes klaar hebben, misschien ook liegend tegen hunzelf. Het zijn niet allemaal typetjes ala Sywert van Lienden.

Je kan altijd wel redenen verzinnen waarom de organisatie groter moet, en dat je dan een hoger salaris moet krijgen, ja dat hoort er gewoon bij.
Ik snap best dat je een paar servers nodig hebt voor een dergelijke dienst, maar om hoeveel servers hebben we het hier? Dat kan toch nooit meer zijn dan een handjevol? Het is wel een belangrijke dienst, maar niet een hele resource intensieve...
Het gaat niet zo zeer om de snelheid van de server maar over wereldwijde distributie en afstand tot de gebruiker.

Door meerdere servers over de wereld te verspreiden is er altijd eentje dichtbij en dus snel te bereiken.
Bij DNS telt iedere milliseconde en is het erg de moeite waard om de informatie in de buurt te hebben staan in plaats van dat je naar een server aan de andere kant van de wereld moet gaan.

Anycast is een systeem dat dit mogelijk maakt. Het zelfde internet-adres wordt op verschillende plekken op de wereld aangeboden en je gebruikt automatisch de dichtsbijzijnde locatie.

[Reactie gewijzigd door CAPSLOCK2000 op 18 april 2025 14:29]

Is het daarom dan niet misschien juist verstandig te focussen op EU-boeren (of zelfs Europese) i.p.v. NL-Only? We hebben in de EU best grote namen als Hetzner, OVHcloud, Scaleway/Online.net. Als we deze dan ook nog naast een LeaseWeb laten draaien is er al best een aardig groot bereik.

[Reactie gewijzigd door DarkForce op 18 april 2025 14:53]

Het werd jaren lang verstandig gevonden bij wereldwijde dienstverlening niet zomaar op een dienstverlener in te zetten. Niet zo vreemd als je risicos in beschikbaarheid wil beperken en wil samenwerken met organisaties met zelfde doelen. Dat kost tijd, moeite en geld. De cloud of een enkele dienstverlener lost de bijkomende problemen nooit zomaar op.
Ik heb er geen probleem mee dat er voor anycast servers over heel de wereld staan. Waar ik probleem mee heb is dat er blijkbaar 0 in Nederland zelf staan. Goed er staat er nog eentje in Europa, maar dat is niet goed genoeg bij mij, dit soort kritieke infra hoort minstens een kopie in eigen land te hebben.
Ik heb er geen probleem mee dat er voor anycast servers over heel de wereld staan. Waar ik probleem mee heb is dat er blijkbaar 0 in Nederland zelf staan. Goed er staat er nog eentje in Europa, maar dat is niet goed genoeg bij mij, dit soort kritieke infra hoort minstens een kopie in eigen land te hebben.
Waar concludeer je dat uit? Ik zie dat niet in de tekst staan.
Volgens mij staat er minstens één Amsterdam en volgens mij ook nog op andere locaties.

Het gaat in dit project volgens mij ook niet om de locatie waar de servers staan maar om wie de eigenaar van het datacenter is.
In een eerdere reactie worden de locaties genoemd, Nederland zat er niet bij.
Die reactie kan natuurlijk incompleet zijn.

Maar er worden twee dingen gezegd die mensen. Dat men helemaal geen buitenlandse infra will en alles in Nederland moet staan en mensen die alles in het buitenland niet erg vinden.

Dat zijn twee uitersten. Ik vind dat het als kritieke infrastructuur zelfstandig in Nederland moet kunnen draaien, maar dat replica over de wereld hebben geen probleem is en ook gewoon nodig voor performance e.d.
Is het niet een kwestie van je servers in een datacenter te zetten waar ook een CDN aanwezig is? Dan hoef je ze niet over de hele wereld te verspreiden.
Een CDN is daar niet voor bedoeld, dat gebruik je mieer als je grotere files met de wereld wilt delen, of dezelfde files heel vaak.
Dan nog wordt een .nl domein meer gebruikt in Nederland dan daarbuiten.
Het gaat hier niet alleen om een "paar DNS servers", maar ook om beveiliging tegen bv. DNS poisoning, DNS amplification attacks, DDoS.
Daarnaast DNSSEC en de koppeling met het DRS systeem dat elk half uur zones kan verversen.
En dat wereldwijd ivm anycast.

Zie ook: https://www.sidnlabs.nl/n...s-infrastructuur-in-beeld?
Maar die beveiliging hoort SIDN zelf te doen, dat wil zeggen: dat zit in de applicatieve laag. De hosting is in deze de infrastructuur en daar willen we een Nederlandse (Europese?) partij voor, zodat er minder afhankelijkheid is van wispelturige buitenlanden.
Heel veel kan ook op infraniveau hoor. Een beetje WAF kan veel van dat ook.
Maar het is wel iets wat wereldwijd moet functioneren en niet alleen binnen de Nederlandse grenzen beschikbaar dient te zijn. Het is wellicht niet resource intensief, maar kan best wel complex worden, zeker met de anycasts is dat het geval.

[Reactie gewijzigd door CH4OS op 18 april 2025 14:31]

Ik denk eerder dat het ondersteunen het probleem zal zijn. Hoeveel mensen moet je in dienst hebben om die servers 24/7 te kunnen ondersteunen?
Als het goed is nul, want DNS is zo ontworpen dat het inherent redundant is. Als de ns1.dns.nl plat ligt, dan schakelt het internet gewoon over naar ns3 en ns4. Ik denk dat deze "servers" ook intern redundant zijn.

Kortom, 24/7-ondersteuning zou nimmer nodig moeten zijn, er zijn altijd zeeën van tijd om een probleem op te lossen.
Zolang het beheren van de .nl extensie en het veranderen van domeinen nog gewoon in Nederlands beheer en locatie blijft, lijkt mij dit een prima plan. Als het internet buiten Nederland geblokkeerd wordt, is het handig als de rest nog gewoon blijft werken. Met caching kun je nog wel het 1 en ander opvangen voor wat we buiten NL moeten gebruiken, maar als je in geval van nood ook niet domeinen kunt aanpassen of nieuwe kunt toevoegen om buitenlandse diensten naar Nederland te halen, dan moet dat mogelijk blijven, lijkt mij.

Ook hier komt weer naar voren dat we dit soort dingen gewoon door de overheid moeten laten doen, lijkt mij. Dan is het kostenplaatje wat minder van belang, omdat er nou eenmaal maatschappelijk belang is van het hebben van een werkend .nl domein.
Ligt helemaal aan de wijze hoe en waar het geblokkeerd wordt. Als het t.h.v. ICANN plaatsvind, is het .nl domein zelfs voor Nederlanders zelf onbereikbaar. Datzelfde geldt ook wanneer letterlijk alle fibers worden gecut en Nederland volledig afgesloten zou zijn van het internet.

Zonder root-zones er is n.l. geen .nl TLD.

Eén of beide van dergelijke situaties is overigens wel heel ver gezocht, ICANN zal niet zomaar een land/tld blokkeren zoals we inmiddels ook gezien hebben met Rusland.
k.root-servers.net staat in Nederland (020)
k.root-servers.net staat in Nederland (020)
Klopt, en wanneer ze .nl verwijderen van de main root-server en de rest gesynced is, is .nl ook daarop onbereikbaar en heb je dus aan k.root-servers.net helemaal niets.

De enige manier om als Nederland of misschien zelfs de hele EU dergelijke zaken te voorkomen is door zelf TLD root-servers te draaien, in principe kan je dit zelfs op lokaal (thuis netwerk) level door deze root.zone te gebruiken i.p.v. alles via root-servers.net te laten lopen.

Doen ze dit op NL of zelfs Europees niveau dan heb je helemaal niets meer te maken met root-servers.net en heb je heel wat minder onafhankelijkheid en kun je zelfs op lokaal niveau TLD's uitrollen iets waar nu klauwen vol geld aan uitgegeven wordt.
Als k.root-servers.net zich in Nederland bevindt, dan bevindt deze server zich binnen de juridische macht van de Staat der Nederlanden. Die kan door middel van noodrecht de betreffende server van de rest ontkoppelen en het .nl-domein daar weer op aan laten maken.
Als k.root-servers.net zich in Nederland bevindt, dan bevindt deze server zich binnen de juridische macht van de Staat der Nederlanden. Die kan door middel van noodrecht de betreffende server van de rest ontkoppelen en het .nl-domein daar weer op aan laten maken.
Want Internic schakelt een server gewoon uit of ontkoppelt deze gewoon van haar infrastructuur. Ik denk dat wanneer een Oranje mannetje een decreet tekent en ze gehoor geven dat ze hun diensten niet langer in Europa mogen aanbieden het niet een kwestie is van een 'shutdown' of 'delete .nl' maar gewoon een keiharde format al dan niet via een remote console.

Nog niet gesproken over het feit dat ze waarschijnlijk wel de nodige security measurements hebben geïmplementeerd waardoor je als derde niet zomaar even een zone handmatig kunt toevoegen. Sowieso lijkt het mij ook strafrechtelijk (zelfs met noodrecht) niet toegestaan om data van een ander te manipuleren (lees; te herstellen).

Over noodrecht/noodwetten dan nog niet gesproken als in... we hebben de afgelopen ~10 jaar gezien wat dat te weeg heeft gebracht, vertragingen, tegenwerkingen, afkeuringen alom. Sowieso blijft het feit, beter voorkomen dan genezen maar kijkende naar bepaalde zaken blijven we achter de feiten aanlopen.
Dat is geen probleem: Als het tot een dergelijke situatie komt dan is het zo ver heen dat internationaal verkeer sowieso twijfelachtig is, maar is het van belang dat de samenleving in Nederland blijft functioneren. Dus pinautomaten moeten blijven werken, je moet met de overheid kunnen mailen e.d.

In dat geval is het voldoende als .nl binnen Nederland werkt. Als internetaanbieders wat moeten aanpassen, ook geen probleem, ook die kunnen met noodrecht bewogen worden.
De root servers zijn meestal geen enkele locatie, maar meerdere datacenters, anycasting en soms zelfs nog bij meer partijen. Voor een letter.
Hebben landen niet een backup voor als de verbinding naar buiten verdwijnt? Lijkt mij eigenlijk niet meer dan logisch om dat nog af te vangen zodat lokaal verkeer in ieder geval door kan gaan
Hebben landen niet een backup voor als de verbinding naar buiten verdwijnt? Lijkt mij eigenlijk niet meer dan logisch om dat nog af te vangen zodat lokaal verkeer in ieder geval door kan gaan
Ik kijk/denk even een tandje verder... nu treed de ICANN niet op tegen bijvoorbeeld Rusland. Maar het zou wel kunnen optreden door in werkelijk alle root-servers de .ru zone te verwijderen. Daarmee maakt men het aanzienlijk moeilijker om bepaalde websites te bezoeken.

Dat ICANN nu geen partij kiest is één, maar men zou dit wel kunnen doen. Doe dit voor bijvoorbeeld het .NL TLD en de hele ccTLD .nl is onbereikbaar wanneer de TTL's verstreken zijn.

Het gaat er dus niet zo zeer (en alleen) om wanneer een verbinding verdwijnt, maar gewoonweg wanneer de 'eigenaar' van de infrastructuur (lees; ICANN) alsnog besluit om tot een bepaalde actie over te gaan. We (Nederland/Europa) zijn eigenlijk veel te afhankelijk van de Verenigde Staten.
Het klinkt als een persbericht om de aandacht af te leiden van het AWS-verhaal: Klinkt alsof ze daar wel doof zijn voor de kritiek en stug doorgaan. Maar voor een ander systeem gaan ze "onderzoeken" of het op Nederlandse servers kan... niet eens een zekerheid, of ook maar een intentie, het hoeft alleen maar onderzocht te worden...

Iemand met een dode mus blij maken!
Nogal ja.

Het is nogal een dooddoener dat de anycast servers in Nederland blijven. Die moeten snel zijn en geografisch dicht bij de gebuiker staan. De servers van AWS staan niet dichtbij. En het zou mij niet verbazen als je daar uberhaubt je eigen anycast op zou kunnen draaien.

Elke 300km voegt minimaal 1ms aan latency toe, dus een makkelijke manier om je service 1ms sneller te maken is door het gewoon in Nederland te hosten.
AWS heeft een local zone in Amsterdam, en ook een Global Accelerator edge location. Anycast is ook geen probleem.
> Het gaat dan specifiek om IP-anycast, die SIDN nog wel zelf host.

Dit interpreteer ik als een stap verder dan de eerdere plannen. Ik zou van SIDN willen weten hoe fallback werkt en hoe dat zich verhoudt tot de kostenbesparing.

Anycast kan je juist wereldwijd hosten en zou daarom in mijn ogen bij praktisch elke provider gehost kunnen worden. Anycast is niet zo spannend, de data is ondertekend en omissie kan je ook detecteren.
Het lijkt me handig om het geheel onder te brengen binnen de EU en daaraan vast te koppelen dan de gebruikte data niet naar een vooraf bepaalde entiteit word verzonden en/of daar naar toe word gedirigeerd of ondergebracht.
Het .nl TLD is wat populariteit betreft de nummer 2, wat registraties betreft de nummer 5. En wat betreft een paar andere metingen staat het toch behoorlijk in de top 10 [1].

Een domein kost degene die het registreerd zo ergens tussen de 7 en 15 euro (prijzen zijn nogal verschillend per hoster). Dat is per jaar en dan hebben ze 6.2 miljoen geregistreerde domeinen.

Ik weet niet hoeveel van die per jaar prijs naar sidn gaat maar ik neem toch aan dat dat zeker 5 euro is. Waarmee sidn op jaarbasis toch minimaal 30 miljoen beschikbaar moet hebben. En dan krijgen ze vast en zeker ook nog inkomsten uit andere bronnen.

Als ik zo naar die cijfers kijk lijkt het me toch een hele normale gedachte dat alle infra die ze nodig hebben voor de domeinen makkelijk zelf kunnen betalen en zelf kunnen hosten. Nou zal AWS ook zeker wel wat voordelen hebben m.b.t. het wereldwijde netwerk en makkelijk deployen. Maar denk toch dat een organisatie als sidn, zeker in deze tijden, er beter aan doet om dat in eigen beheer te houden.

[1] https://www.openprovider....24-domain-industry-trends
Vervolgens gebruiken die Nederlandse hosters wel/ook AWS en dan is het opeens wel goed dat de data bij een Amerikaanse partij komen? Dan lijkt het mij ook niet simpel en vooral geldverkwisting.
Ik hoop dat je het verschil ziet tussen de bakker's website en sidn die heel het .nl in handen heeft. Dat zou toch wel in Nederland of Europa moeten kunnen staan. AWS heeft geen "magische" servers of services.
Het punt van de overheid is dat SIDN het niet bij AWS mag neerzetten, omdat de data dan in buitenlandse handen komt en een buitenlandse overheid de data dan ook zonder meer kan opvragen. Men wil dat voorkomen, door de SIDN te dwingen geen AWS te gebruiken, maar wie zegt dat de Nederlandse hosters dat niet doen? :)
Kwestie van de contracten goed schrijven.
maar wie zegt dat de Nederlandse hosters dat niet doen?
Je zet natuurlijk in het contract dat alles op machines in en van europese bodem moet draaien.

Je kan eisen stellen in een contract :)
imho is dat een stichting en dienstverlening die je als land beter nationaliseert en in een eigen datacenter zet.
Kwestie van ergens in een private cloud zetten en met regelmaat laten toetsen door een onafhankelijke club. Dit zullen ook geen tientallen kasten met servers zijn verwacht ik, dat lijkt redelijk overzichtelijk.

Op dit item kan niet meer gereageerd worden.