Als de afgelopen jaren iets hebben laten zien, is het wel hoe afhankelijk Europa is van mondiale machten. Vooral op technologisch vlak loopt Europa op diverse gebieden achter. Dat was zo bij het starten met 5G, dat is zo met chipproductie en de constatering is nu dat het continent ook niet genoeg zeggenschap lijkt te hebben over dns-infrastructuur. De Europese Commissie begint daarom een aanbesteding om een eigen, Europese dns-resolver op te zetten, die 'voldoet aan de waarden van de EU'. Het programma, DNS4EU, moet voldoen aan 'de strenge eisen rondom de AVG', maar heeft tegelijk een schaduwkant waarbij de Unie onwelgevallige websites wil kunnen blokkeren. Kun je zo'n dns-dienst wel op Europees niveau uitbaten?
Het plan
Vooropgesteld: de plannen van de Europese Unie bevinden zich op dit moment nog in een heel vroeg stadium, dus is het nog lastig om definitieve conclusies te trekken over DNS4EU. Wat we wel kunnen zeggen, is wat er in de aanbestedingsprocedure staat. Die is media januari opgezet door de Europese Commissie, vanuit het Connecting Europe Facility-subsidieprogramma van de Europese Unie. Bedrijven die interesse hebben, kunnen voor medio maart een voorstel doen bij de Commissie voor het bouwen van een eigen dns-resolver voor Europa.
Afgaande op de aanbesteding kun je al een paar conclusies trekken over hoe de resolver eruit moet komen te zien. De EC wil verschillende eisen rondom stabiliteit en vindbaarheid vastleggen, maar veel onderdelen zijn breed geformuleerd en nog vaag.
Doelgroep
De Commissie richt zich met de resolver op een zo breed mogelijk publiek. Eindgebruikers, ofwel de half miljard Europeanen waar de Commissie over gaat, zijn slechts een deel van de beoogde doelgroep. Dat zijn verder bedrijven die 'data- en cloudinfrastructuren' beheren. "Het voorstel mikt op een hoge adoptie door verschillende klantengroepen aan te spreken, bijvoorbeeld residentieel, het onderwijs, overheden en bedrijven'. Dezelfde algemeenheid zie je terug bij de beschikbaarheid; de resolver moet 'brede geografische dekking in de EU' hebben en een 'hoge mate van betrouwbaarheid en uptime bieden'.
Wat de toegankelijkheid betreft schrijft de Commissie dat het nodig is dat de dienst door grote browsers, besturingssystemen en gebruikersapparatuur wordt ondersteund. Technisch gezien zou brede ondersteuning weinig moeite moeten kosten met een dns-resolver, maar de EC eist in de aanbesteding dat de toekomstige aanbieder in gesprek gaat met 'de industrie zoals webbrowsermakers en internetproviders en de dns-standaardisatiegemeenschap', ofwel de instanties die werken aan bijvoorbeeld dns-over-https.
Een van de belangrijkste eisen is dat de dienst volledig optioneel wordt voor eindgebruikers. Dat moet ook wel vanwege het decentrale karakter van het protocol. Het is voor gebruikers makkelijk om te switchen van dns-provider, al zegt het Franse Afnic tegen Heise dat het niet verwacht dat ze dat snel zullen doen. Afnic is de organisatie die het Franse .fr-topleveldomein beheert, maar zich ook op internetstandaarden richt. De meeste internetgebruikers blijven volgens de organisatie waarschijnlijk comfortabel zitten op de dns-resolver die hun isp aanbiedt. Voor bedrijven is een eigen dns-resolver vaak een noodzaak vanuit beveiligingsoogpunt, dus ook daar zal afdwingen geen optie zijn.
Europese cybersecuritystrategie
Het plan lijkt voort te komen uit de wens om Europa soevereiner en minder afhankelijk te maken van andere landen en specifiek buitenlandse dns-diensten. Een eigen dns-resolver werd al kort aangestipt in de cybersecuritystrategie voor het komende decennium, die de Commissie eind 2020 publiceerde.
Misschien speelt die soevereiniteit dus mee als reden om zelf een resolver te laten bouwen, in plaats van al die regels en wensen af te dwingen via wetgeving. Ook Cricket Liu heeft daar even aan gedacht. Hij is Chief DNS Architect bij dns-provider Infoblox en schreef diverse boeken over het oude protocol. "Ik heb me wel afgevraagd waarom de EC niet gewoon zijn beleid of regels heeft aangepast. Dat had ze best kunnen doen", zegt hij. "Maar ik weet niet precies wat dat had betekend. Het zou zeker ingewikkeld zijn geweest. Internet kent geen grenzen, dus hoe dwing je zoiets af? Als je zegt dat 'alle regels gelden voor in Europa', dan richt je je op iedere dns-dienst ter wereld. Als je regels toepast voor ieder bedrijf dat is gevestigd in de Europese Unie, dan gelden die niet voor de grootste commerciële partijen zoals Google en Cloudflare, en zelfs niet voor Quad9, dat in Zwitserland zit." Met andere woorden, zegt hij, het zou te lastig zijn de regels te handhaven.
Wie bouwt zoiets?
In de komende weken moet duidelijk worden welke bedrijven in aanmerking komen om de resolver te bouwen. Dat dat een kleine start-up met grote ambities wordt, lijkt Cricket Liu niet erg aannemelijk. Hij was tegelijkertijd enigszins verbaasd over het lage bedrag dat Europa voor het project wil uitrekken, zegt hij. Er is eenmalig 14 miljoen euro beschikbaar om het project te bouwen, blijkt uit de aanbesteding. "Dat is geen enorm bedrag", zegt Cricket.
De maker zal voornamelijk moeten investeren in verschillende datacenters door heel Europa. "Je hebt heel veel servers nodig als je wilt kunnen concurreren met een dienst als Google of Cloudflare op het gebied van prestaties en capaciteit", zegt Liu. "Dat zou bij een Europese dienst wel iets makkelijker zijn, omdat je nog steeds vrij lokaal werkt. Desondanks heb je servers nodig voor de Benelux, voor Scandinavië, voor Spanje." Dat moet voornamelijk vanwege latency; een gebruiker in Noorwegen die gebruikmaakt van een server in Spanje, krijgt al snel last van een trage verbinding. Ook zijn stabiliteit en redundancy belangrijk. "Dan kun je tenminste genoeg servers offline halen voor onderhoud zonder onderbrekingen. Volgens Liu kan alleen een bedrijf dat nu al een uitgebreide dns-infrastructuur heeft, reageren op die aanbesteding.
Een dns-resolver heeft volgens Liu nog verschillende andere technieken nodig die veel onderhoud vergen. "Je moet een goede Anycast-infrastructuur hebben, zodat gebruikers altijd hetzelfde IP-adres kunnen gebruiken, en je moet capaciteit hebben om horizontaal te kunnen opschalen." Al met al wordt dat een duur grapje voor de toekomstige uitbater.
Premium-services
Een onderdeel uit de aanbesteding valt op: de premiumdienst. "Er moet opt-in een premiumdienst worden aangeboden voor betere beveiliging voor specifieke industriële toepassingen", schrijft de Commissie. Als voorbeelden van die beveiliging noemt ze betere filtering, monitoring en ondersteuning. Dat zou dan voor de cloud- of gezondheidssector interessant zijn, maar de aanbesteding heeft het ook over de financiële en logistieke sector. Niet geheel toevallig zijn dat de sectoren waarvan beveiligingsdiensten waarschuwen dat ze kwetsbaar zijn voor aanvallen van buitenaf. Die kunnen er dus extra baat bij hebben als ze op dns-niveau worden beschermd tegen bekende aanvalsvectoren, maar dan wel tegen betaling.
Over de premiumdienst van de resolver was rondom de aankondiging veel te doen. In de praktijk is voorlopig alleen bekend dat de resolver geld kost voor extra beveiliging. Die beveiliging komt overal in het DNS4EU-project terug. Dat is zelfs een van de kernwaarden.
Inmiddels hebben zich al verschillende kandidaten gemeld. Zo wil de Council of European National Top Level Domain Registries een consortium opzetten om op de aanbesteding in te gaan. Daar vallen ook het Nederlandse SIDN en het Belgische DNS Belgium onder.
Beveiliging
Het project moet aan een bepaald aantal eisen voldoen. Zo moeten beveiligingsstandaarden zoals dns-over-https en dns-over-tls en dnssec worden geïmplementeerd en moeten er 'best practices' gehanteerd worden voor de beveiliging, oftewel alle onderdelen van de dienst moeten veilig zijn. Een 'integraal onderdeel' van de resolver is dat malware-, phishing- en andere aanvalswebsites moeten kunnen worden geblokkeerd.
Daar zit de crux, want wie gaat bepalen hoe dat in de praktijk gaat werken? Ook hier geldt dat de aanbesteding vooralsnog weinig zegt over het onderwerp. Blokkades moeten worden uitgevoerd als ze 'afkomstig zijn van betrouwbare en up-to-date wereldwijde dreigingsbeelden'. In de aanbesteding impliceert de EC dat het bedrijf achter de resolver straks zelf aan threat detection gaat doen, maar dat hoeft de uitbater niet alleen te doen. Die krijgt daarbij hulp van 'vertrouwde partners' zoals Computer Emergency Response Teams. Dat zijn overheidsinstanties zoals in Nederland het Nationaal Cyber Security Centrum, maar ook waarschuwingsdiensten vanuit de industrie, zoals Z-Cert voor de medische sector. Ook heeft Europa een eigen CERT die inlichtingen verzamelt over dreigingen. Neem een recente waarschuwing over Android-malware die zich via phishing-sms'jes verspreidt. Zo'n CERT zou in dit geval de dns-records van de command and control-server aan de DNS4EU-uitbater geven, die de malware op die manier op dns-niveau kan blokkeren.
Nutsvoorziening
Cricket Liu ziet daar het voordeel van in, omdat de resolver de gebruiker beschermt. DNS4EU verschilt daarin ook met commerciële partijen én met internetproviders. "Neem bijvoorbeeld Googles publieke dns-dienst. Die zegt zelf ook niet veel te doen om gebruikers te beschermen. De dienst wil een neutraal doorgeefluik zijn. Dat is anders dan bij commerciële dns-resolvers, die veel op grote bedrijven gericht zijn. Die doen veel om gebruikers te beschermen tegen malware- en phishingwebsites. Publieke resolvers blijven daar vaak vandaan."
Internetproviders hebben dezelfde houding met de dns-resolvers die ze zelf gebruiken of beheren. Hoewel dat commerciële bedrijven zijn, zien ze zichzelf ook graag als een soort nutsfunctie die voor een neutrale doorgifte van informatie zorgt. Dat heeft een reden, zegt Liu. "Als je als provider zegt dat je gebruikers gaat beschermen tegen phishing of malware, kun je ook aansprakelijk worden gesteld als een gebruiker toch ergens op klikt waardoor hij schade oploopt." Toegegeven, Liu vergelijkt die situatie voornamelijk met die in zijn thuisland, de Verenigde Staten. Daar heerst een wat grotere aanklaagcultuur dan in Nederland en Europa, maar het idee dat providers zichzelf vooral als doorgeefluik zien, blijft overeind.
Providers zijn neutrale doorgeefluiken als het op hun dns-resolvers aankomt
Die bijna-nutsfunctie van de isp's ligt ook vast in reguleringen, die commerciële of gratis diensten niet hebben. "Je kunt er altijd voor kiezen om Googles dns-resolver te gebruiken, maar Google heeft dan wel de mogelijkheid om ermee te doen wat het wil", zegt Liu. "Het baat dat natuurlijk niet gratis uit vanuit de goedheid van zijn hart. Google doet dat vanwege de telemetrie; het wil gegevens hebben."
Liu denkt daarom dat isp's wel baat kunnen hebben bij een nieuwe, publieke dns-dienst waar ze op kunnen vertrouwen, maar hij voegt eraan toe dat het risico van misbruik met data grotendeels hypothetisch is. "Ik ken geen voorbeelden waarbij een grote publieke dns-dienst ineens iets verkeerds deed met je data."
Piraterij en bommen maken
Wat bescherming betreft heeft DNS4EU wellicht dus veel voordelen, maar wie een stuk verder leest in de aanbesteding, loopt al tegen het eerste potentiële obstakel aan. DNS4EU moet 'URL's kunnen filteren die naar illegale content verwijzen'. Daar staan wel wat waarborgen bij, zoals 'gebaseerd op legale gronden in de EU' en 'in volledige overeenstemming met het EU-recht', maar dat klinkt allemaal vaag. Want, denkt ook Cricket Liu, er is een groot grijs gebied rondom content die 'legaal' te noemen is. "Als je het hebt over een command and control-server, dan is vrij duidelijk dat, buiten wat beveiligingsonderzoekers om, iedereen baat heeft bij het blokkeren van die site. Buiten dat kom je al heel snel in dat grijze gebied terecht. Wat doe je als iemand een handleiding online zet over hoe je een bom moet maken? Dat kun je ook zien als iets dat onder de vrijheid van meningsuiting valt. En hoe zit het met opruiende teksten, pornografie, gokken?"
Daarom denkt Liu dat het belangrijk is dat het gebruik van de resolver op basis van vrijwilligheid is, zoals dat momenteel ook in het plan is vastgelegd. Daarnaast, zegt hij, moet vooraf heel duidelijk zijn wat het beleid is. "Er moeten goede definities zijn van wat zo'n filter betekent."
Dat de aanbesteding het nu al heeft over vrijwilligheid is dan misschien een goede stap, maar het is ook laaghangend fruit. Het is praktisch vrijwel onmogelijk om een dns-dienst af te dwingen. "Je kunt dat best proberen via ACL's in firewalls en routers, maar dan moeten providers wel meewerken of gedwongen worden om mee te werken." Dat zie je nu bijvoorbeeld in China en andere autoritaire regimes.
Die providers zijn voorlopig nog niet onverdeeld enthousiast over de plannen, schrijft Heise bij navraag. Zo zijn er verschillende providers en organisaties die al hebben aangegeven niet mee te werken, juist vanwege die verplichte filters. Om kanshebbers voor zo'n grote opdracht komt de Europese Commissie echter waarschijnlijk niet verlegen te zitten.